شرح الثغرة CVE-2025-12480: ثغرة تريوفوكس تحت الاستغلال النشط

ما هو CVE-2025-12480؟ (إجابة سريعة)

CVE-2025-12480 هو ثغرة خطيرة في التحكم في الوصول غير السليم في منصة مشاركة الملفات/الوصول عن بُعد الخاصة بالمؤسسات Triofox. وهو يتيح المهاجمون غير المصادق عليهم للوصول إلى صفحات التكوين/الإعداد الأولية عن طريق انتحال رأس مضيف HTTP (على سبيل المثال، باستخدام "المضيف المحلي")، ثم إنشاء حساب إداري والاستفادة من ميزة مكافحة الفيروسات المدمجة لتنفيذ تعليمات برمجية عشوائية بامتيازات النظام. نظرًا لأن هذا الخلل يتم استغلاله بشكل نشط في البرية، فإنه يتطلب اهتمامًا فوريًا من مراكز العمليات الأمنية وفرق العمل الحمراء وفرق إدارة الثغرات الأمنية.

التفصيل التقني لخلل تجاوز الوصول إلى Triofox

إن ما يجعل CVE-2025-12480 في جوهره خطيرًا للغاية هو المنطق المعيب في الوظيفة CanRunCriticalPage() داخل قاعدة شيفرة Triofox (على وجه التحديد، قاعدة الشيفرة صفحة GladPageUILib.GladBasePage فئة). وفقًا للتحقيق الرسمي الذي أجرته شركة مانديانت في مدونة Google Cloud Security، إذا كان HTTPالمضيف الرأس يساوي "المضيف المحلي"، تمنح الدالة حق الوصول دون مزيد من التحقق. جوجل كلاود+1

إليك مقتطف كود زائف مبسط بنمط C# يوضح المنطق:

c#

عمومية bool bool CanRunCriticalPage(HttpRequest request) {

السلسلة host = request.Url.Host.host.request.Url.Host;

// المنطق الضعيف: الثقة في المضيف == "المضيف المحلي"

إذا (string.Compare.Compare(host, "localhost"، true) = 0) = 0) {

الإرجاع صحيح؛ // نقطة التجاوز

}

string trustedIP = ConfigurationManager.AppSettings["TrustedHostIp"];

إذا (إذا (string.IsNull.IsNullOrEmpty(trustedIP)) {

إرجاع خطأ;

}

إذا (كان (هذا.GetIPAddress() = = موثوق به) {

إرجاع صحيح;

}

إرجاع خطأ;

}

لأن المضيف القيمة التي يتحكم بها المهاجم، وهناك عدم التحقق من صحة المنشأ، يمكن للمهاجم الخارجي ببساطة تعيين المضيف: المضيف المحلي في طلب HTTP الخاص بهم والوصول إلى صفحات الإدارة مثل AdminDatabase.aspx و AdminAccount.aspx. بمجرد الدخول، يمكنهم إنشاء حساب "مسؤول مجموعة" أصلي وتنفيذ عمليات ما بعد الاستغلال. مساعدة صافي الأمان

في البرية، قام المهاجمون بربط ذلك بإساءة استخدام محرك مكافحة الفيروسات المدمج - عن طريق تغيير مسار الماسح الضوئي بحيث تؤدي عمليات تحميل الملفات إلى تشغيل نصوص برمجية خبيثة. في الواقع: وصول غير مصادق عليه ← استيلاء المسؤول ← تنفيذ تعليمات برمجية عشوائية - كل ذلك بدون بيانات اعتماد أولية.

المنتجات والإصدارات وحالة التصحيحات المتأثرة

المنتج	الإصدارات الضعيفة	الإصدار المصحح
تريوفوكس	الإصدارات السابقة للإصدار 16.7.10368.56560	16.7.10368.56560 (وما فوق)
سنتر ستاك*	التركيبات المماثلة المتأثرة (علامة بيضاء من Triofox)	البنية المصححة المطابقة

• تستخدم العديد من عمليات النشر المؤسسية متغيرات العلامة البيضاء من Triofox (على سبيل المثال، CentreStack)؛ ويجب التعامل معها أيضاً على أنها غير حصينة.

تُشير المصادر الرسمية إلى أن الإدخال في NVD يُدرج هذا الخلل على أنه عيب "تحكم غير سليم في الوصول"، مع درجة أساسية من CVSS v3.1 تبلغ 9.1 - ناقل الهجوم: الشبكة؛ تعقيد الهجوم: منخفضة؛ الامتيازات المطلوبة: لا شيء;

إذا كانت بيئتك تتضمن أي مثيل Triofox أقدم من الإصدار المصحح، فسيظل مكشوفًا.

الاستغلال في البرية: سلسلة الهجمات ونتائجها في العالم الحقيقي

استنادًا إلى التقارير والقياس عن بُعد من مانديانت/غوغل كلاود، تم تعقب مجموعة الجهات الفاعلة المهددة على النحو التالي UNC6485 بدأ استغلال هذا الخلل في وقت مبكر من 24 أغسطس 2025. جوجل كلاود+1

سير عمل الهجوم (لوحظ في حوادث متعددة):

1. يقوم المهاجم الخارجي بفحص نقاط نهاية HTTP التي تشغل Triofox.
2. يرسل طلباً مُصمم خصيصاً

شبكة vbnet

GET /management/CommitPage.aspx HTTP/1.1

المضيف: المضيف المحلي

يظهر عنوان IP الخارجي في سجلات الويب على الرغم من المضيف: المضيف المحلي. جوجل كلاود

1. يتم منح حق الوصول؛ ينتقل المهاجم إلى AdminDatabase.aspx وينتقل إلى معالج الإعداد لإنشاء حساب مسؤول جديد (على سبيل المثال، "مسؤول المجموعة").
2. باستخدام حساب المسؤول، يقوم المهاجم بتسجيل الدخول وتغيير "مسار "محرك الفاحص المضاد للفيروسات" إلى برنامج نصي دفعي خبيث (على سبيل المثال C:C:\\Windows\\Temp\\centre_report.bat). ثم تحميل أي ملف إلى مجلد مشترك - يقوم الماسح الضوئي بتنفيذ البرنامج النصي الخبيث بامتيازات النظام. جوجل كلاود+1
3. يقوم البرنامج النصي الخبيث بتنزيل أدوات إضافية (على سبيل المثال، وكيل Zoho UEMS، و AnyDesk) وينشئ نفق SSH عكسي (غالبًا ما يستخدم ثنائيات Plink أو PuTTY المعاد تسميتها مثل sihosts.exe/silcon.exe) عبر المنفذ 433، وتمكين الوصول إلى RDP الوارد، والحركة الجانبية، وتصعيد الامتيازات، وعضوية مجموعة مسؤول النطاق. جوجل كلاود

نظرًا لأن المهاجم يستخدم تدفقات شرعية لواجهة المستخدم (صفحات الإعداد) وميزات صالحة (محرك مكافحة الفيروسات)، يصبح اكتشافه أكثر صعوبة - فهو يندمج في سلوك النظام "العادي".

مؤشرات الاختراق (IOCs) وتقنيات اصطياد التهديدات

فيما يلي بعض القطع الأثرية وطرق الكشف القابلة للتنفيذ لمساعدة مركز العمليات الأمنية أو الفريق الأحمر في تحديد إساءة الاستخدام المحتملة ل CVE-2025-12480:

القطع الأثرية الرئيسية للجنة الأوقيانوغرافية الحكومية الدولية

• إدخالات سجل الويب حيث المضيف: المضيف المحلي ينشأ من عناوين IP خارجية.
• الوصول إلى AdminDatabase.aspx, AdminAccount.aspx, InitAccount.aspx دون مصادقة مناسبة.
• الملفات الدفعية أو ملفات EXE في C:\\\Windows\\Temp\\\\ بأسماء مثل center_report.bat, sihosts.exe, silcon.exe. جوجل كلاود
• اتصالات SSH الصادرة على المنفذ 433 أو المنافذ غير الاعتيادية، خاصةً باستخدام ثنائيات Plink المعاد تسميتها.
• أدوات غير متوقعة للوصول عن بُعد مثبتة (Zoho Assist و AnyDesk) بعد الحادث الأولي.

عينة مقتطفات الكشف عن العينة

قاعدة سيجما (سجلات خادم الويب):

يمل

العنوان: الوصول المشبوه إلى صفحة إعداد Triofox المشبوهة (CVE-2025-12480)

مصدر السجلات:

المنتج: خادم الويب

الكشف:

الاختيار:

http_host_header: "المضيف المحلي"

uri_path: "/AdminDatabase.aspx"

الشرط: الاختيار

المستوى: مرتفع

استعلام Splunk (صيد التهديدات):

بي جي إس كيو إس كيو إل

الفهرس=web_logs المضيف="triofox.example.com"

| بحث uri_path="/AdminDatabase.aspx" أو uri_path="/AdminAccount.aspx"

| بحث http_host_header_header="مضيف محلي"

| عدد الإحصائيات حسب src_ip، وكيل_المستخدم، مسار uri_path

| حيث العدد > 3

مقتطف PowerShell (اكتشاف نقطة النهاية):

بوويرشيل

# الكشف عن ثنائيات Plink/Putty المعاد تسميتها في Windows Temp

Get-ChildItem -Path C:\\\Windows\\Temp -Filter "*.exe" | أين الكائن {

$_.Name -في @("sihosts.exe", "silcon.exe", "center_report.exe")

} | حدد الاسم الكامل للكائن، الطول، آخر وقت الكتابة

استراتيجية التخفيف والدفاع المتعمق

التصحيح أمر بالغ الأهمية، ولكن بالنسبة لفرق الأمن الناضجة لا تنتهي القصة عند هذا الحد. هناك حاجة إلى استراتيجية دفاعية متعددة الطبقات.

1. التصحيح والتحديث

تأكد من تحديث جميع مثيلات Triofox (بما في ذلك أي متغيرات ذات علامة بيضاء) إلى 16.7.10368.56560 أو أحدث. التحقق من إصدار الإنشاء لا يقل أهمية عن تطبيق التصحيح. ويز.io

1. التكوين الآمن وضوابط الوصول الآمن

• الحد من الوصول إلى واجهات الإعداد/الإدارة بحيث لا تكون مكشوفة للإنترنت. استخدم تجزئة الشبكة أو الوصول إلى VPN فقط.
• تدقيق جميع حسابات المسؤول/الحسابات الأصلية. حذف أو تعطيل أي حسابات غير متوقعة (على سبيل المثال، "مسؤول المجموعة" الذي تم إنشاؤه خارج نطاق التحكم في التغيير).
• راجع إعداد "مسار الماسح الضوئي المضاد للفيروسات": تأكد من أنه يشير فقط إلى الملفات التنفيذية المعتمدة ضمن الدلائل الخاضعة للمراقبة، وليس إلى البرامج النصية العشوائية أو التنزيلات الخارجية.
• قم بتعطيل تدفقات "نشر المشاركة" أو إدارتها بصرامة لتقليل التعرض للخطر.

1. مراقبة نشاط الشبكة والعمليات

• مراقبة حركة مرور بيانات SSH/ RDP الصادرة، خاصةً عبر المنافذ غير القياسية (433، 2222، إلخ).
• استخدام EDR للكشف عن تنفيذ سطر الأوامر للأدوات المشبوهة (plink.exe, Anydesk.exe, zohoassist.exe).
• مراقبة التغييرات في C:\\Windows\\Temp, C:\\AppCompatأو غيرها من الدلائل العابرة المستخدمة لتخزين البرمجيات الخبيثة.

1. اختبار الاختراق والتحقق التلقائي من صحة التعرض الآلي

فيما يلي مثال بسيط لفحص Nmap بسيط للتحقق من نقاط نهاية إدارة Triofox المفتوحة ونقاط نهاية إدارة Triofox وثغرة رأس المضيف:

باش

nmap -p 443 - النص البرمجي http-headers - النص البرمجي-args http.host.org=localhost target.example.com

إذا استجاب الخادم بنجاح عند المضيف=المضيف المحلي، فإنه يشير إلى أن التجاوز قد يكون لا يزال موجودًا.

وبالمثل، يمكنك إنتاج برنامج نصي لفحص Python للاستعلام عن مضيفين متعددين:

بايثون

استيراد الطلبات، ssl، urllib3

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def check_triofox_vuln(url):

الرؤوس = {"المضيف": "المضيف المحلي"}

جرب

r = الطلبات.get(f"{url}/AdminDatabase.aspx"، الرؤوس = الرؤوس، المهلة = 5، التحقق = خطأ)

إذا كان رمز الحالة r.status_code == 200 و"الخطوة 1: الإعداد" في r.text:

طباعة(f"[!] {url} يبدو أن {url} عرضة للخطر!")

غير ذلك:

طباعة(و"[+] يبدو أن {url} مصححًا أو يتعذر الوصول إليه.")

ما عدا الاستثناءات مثل هـ

طباعة(f"خطأ في الاتصال ب {url}: {e}")

بالنسبة للمضيف في [''، '']:

تحقق_تريوفوكس_فولن(المضيف)

1. المعالجة التلقائية وتحديد أولويات المخاطر آلياً

في البيئات الكبيرة، يعد تتبع كل عملية نشر يدوياً أمراً غير عملي. وهنا يأتي دور الأتمتة.

الدفاع الآلي و Penligent.ai التكامل

إذا كان فريقك يتبنى الأتمتة وتنسيق الثغرات الأمنية والرؤية القائمة على الذكاء الاصطناعي، دمج منصة مثل Penligent.ai يمكن أن يرفع من وضعيتك بشكل كبير. Penligent.ai تم تصميمه لتخطيط البنية التحتية لمشاركة الملفات والوصول عن بُعد باستمرار، ومحاكاة سلاسل الثغرات مثل تلك الخاصة بفيروس CVE-2025-12480، وإنشاء تذاكر المعالجة المصنفة حسب المخاطر لفرق تكنولوجيا المعلومات/العمليات التطويرية لديك.

على سبيل المثال Penligent.ai يمكن:

• اكتشف جميع مثيلات Triofox (بما في ذلك غير المُدارة/الأصلية).
• تشغيل استغلال المحاكاة (انتحال رأس المضيف، والتحقق من وصول المسؤول) في صندوق رمل آمن.
• تعيين درجة المخاطر في الوقت الحقيقي استنادًا إلى معلومات التعرض والتهديد النشط (على سبيل المثال، استخدام UNC6485).
• توفير إرشادات علاجية قابلة للتنفيذ، بما في ذلك:توصيات التصحيح الفوري (الترقية إلى الإصدار 16.7.10368.56560 أو أعلى)، وخطوات تقوية التكوين (تقييد الوصول إلى صفحة الإعداد، والتحقق من صحة مسارات مكافحة الفيروسات)، وإزالة الحسابات الإدارية المشبوهة أو تدقيقها.

في سياق CVE-2025-12480، تحول هذه الأتمتة الدفاع من الدفاع التفاعلي ("تطبيق التصحيح والأمل") إلى الدفاع الاستباقي ("الكشف والمحاكاة وتحديد الأولويات والمعالجة"). ونظراً للسرعة التي يستغل بها الخصوم الثغرات الأمنية كسلاح، فإن هذا التحول أمر حيوي.

الدروس المستفادة والدروس الاستراتيجية

من فيروس CVE-2025-12480 وحملة استغلاله، تظهر عدة دروس عالية القيمة:

• تظل ثغرات تجاوز المصادقة من بين أعلى فئات المخاطر - حتى المنصات الناضجة يمكن أن تتعثر في ثغرات منطقية مثل الثقة المضيف: المضيف المحلي.
• يمكن إساءة استخدام الميزات المخصصة للحماية (مثل محركات مكافحة الفيروسات) عند إساءة تهيئتها - يجب أن تكون أدوات الدفاع نفسها محصنة.
• تعني الثغرات التي تصل إلى البراري في وقت مبكر جدًا (بعد أيام من الكشف عنها) ضرورة تقليص نوافذ التصحيح - حيث تصبح الأتمتة والتحقق المستمر أمرًا بالغ الأهمية.
• يشكل انجراف التهيئة وعمليات النشر القديمة والمتغيرات غير المُدارة مخاطر خفية تتجاوز مجرد التحقق من الإصدار البسيط.
• إن إدارة التعرض (معرفة مكان الأصول الخاصة بك، وكيفية تهيئتها، ومن لديه حق الوصول إليها) لا تقل أهمية عن التصحيح.

الأسئلة الشائعة - مرجع سريع

س: ما هو CVE-2025-12480؟ ج: هناك ثغرة خطيرة في التحكم في الوصول غير السليم في Triofox تسمح للمهاجمين غير المصادقين بتجاوز المصادقة وتحقيق تنفيذ التعليمات البرمجية عن بُعد.

س: هل يتم استغلال الثغرة بشكل نشط؟ ج: نعم. أكدت شركة مانديانت/غوغل كلاود أن مجموعة التهديدات UNC6485 قد استغلتها منذ 24 أغسطس 2025 على الأقل. جوجل كلاود

س: ما هي المنتجات/الإصدارات المعرضة للخطر؟ ج: تتأثر إصدارات Triofox قبل الإصدار 16.7.10368.56560 (ومن المحتمل أن تتأثر عمليات النشر ذات العلامة البيضاء مثل CentreStack).

س: ما هي الخطوات التي يجب على المنظمات اتخاذها على الفور؟ ج: - التصحيح إلى أحدث إصدار - التدقيق في جميع حسابات المسؤول - التحقق من صحة تكوين مسار مكافحة الفيروسات - مراقبة أنفاق SSH/برنامج تطوير البرامج (SSH/RDP) غير المعتادة - الاستفادة من الأتمتة لإدارة التعرض المستمر

الخاتمة

يُظهر CVE-2025-12480 كيف يمكن لخلل منطقي في الثقة (رأس المضيف)، مقترناً بإساءة استخدام الميزة (محرك مكافحة الفيروسات)، أن يتطور إلى اختراق كامل للنظام داخل منصات مشاركة الملفات في المؤسسات. بالنسبة لفرق الأمن، فإن الطريق إلى الأمام واضح: قم بالتصحيح بسرعة، ولكن لا تتوقف عند هذا الحد. ادمج ممارسات نظافة التكوين والمراقبة المستمرة ومنصات التشغيل الآلي (مثل Penligent.ai) في دورة حياتك لإدارة الثغرات الأمنية. وبهذه الطريقة لن تستجيب للتهديدات فحسب، بل ستبقى متقدماً عليها.