CVE-2025-12480 Explicado: Vulnerabilidad de Triofox bajo explotación activa

¿Qué es CVE-2025-12480? (Respuesta rápida)

CVE-2025-12480 es un vulnerabilidad crítica de control de acceso inadecuado en la plataforma empresarial Triofox de compartición de archivos/acceso remoto. Permite atacantes no autentificados para llegar a las páginas iniciales de configuración/configuración falsificando el encabezado HTTP Host (por ejemplo, utilizando "localhost"), luego crear una cuenta administrativa y aprovechar una función antivirus incorporada para ejecutar código arbitrario con privilegios de SISTEMA. Dado que este fallo se explota activamente en la naturaleza, exige la atención inmediata de los SOC, los equipos rojos y los equipos de gestión de vulnerabilidades.

Desglose técnico del fallo Triofox Access-Bypass

En el fondo, lo que hace que CVE-2025-12480 sea tan peligroso es la lógica errónea de la función CanRunCriticalPage() dentro de la base de código de Triofox (concretamente, el GladPageUILib.GladBasePage class). Según la investigación oficial de Mandiant en el blog de Google Cloud Security, si el HTTPAnfitrión es igual a "localhost", la función concede acceso a sin más comprobaciones. Google Cloud+1

Aquí tienes un fragmento de pseudocódigo simplificado al estilo C# que ilustra la lógica:

c#

public bool CanRunCriticalPage(HttpRequest request) {

string host = request.Url.Host;

// lógica vulnerable: trusting Host == "localhost"

if (string.Compare(host, "localhost", true) == 0) {

return true; // punto de desvío

}

string trustedIP = ConfigurationManager.AppSettings["TrustedHostIp"];

if (string.IsNullOrEmpty(trustedIP)) {

devolver falso;

}

if (this.GetIPAddress() == trustedIP) {

devuelve true;

}

devolver falso;

}

Porque el Anfitrión es controlado por el atacante y hay sin validación de origenun atacante externo puede simplemente Host: localhost en su petición HTTP y obtener acceso a páginas de gestión como AdminBaseDeDatos.aspx y AdminAccount.aspx. Una vez dentro, pueden crear una cuenta nativa "Cluster Admin" y llevar a cabo la post-explotación. Ayuda a la seguridad de la red

En la naturaleza, los atacantes han encadenado esto con el abuso del motor antivirus incorporado - mediante la alteración de la ruta del escáner para que las cargas de archivos activan scripts maliciosos. En efecto: acceso no autenticado → toma de control de administrador → ejecución de código arbitrario - todo sin credenciales iniciales.

CVE-2025-12480

Productos afectados, versiones y estado de los parches

Producto	Versiones vulnerables	Versión parcheada
Triofox	Versiones anteriores a 16.7.10368.56560	16.7.10368.56560 (y superior)
CentreStack	Construcciones similares afectadas (marca blanca de Triofox)	Compilación parcheada correspondiente

Muchos despliegues empresariales utilizan variantes de marca blanca de Triofox (por ejemplo, CentreStack); estos también deben ser tratados como vulnerables.

Las fuentes oficiales indican que la entrada del NVD lo cataloga como un fallo de "Control de acceso inadecuado", con una puntuación base CVSS v3.1 de 9.1 - Vector de ataque: Red; Complejidad del ataque: Baja; Privilegios requeridos: Ninguno;

Si su entorno incluye alguna instancia de Triofox anterior a la versión parcheada, ésta permanece expuesta.

Explotación en la naturaleza: cadena de ataques y resultados en el mundo real

Basándose en los informes y la telemetría de Mandiant / Google Cloud, el grupo de actores de amenazas rastreado como UNC6485 empezaron a explotar este fallo ya en 24 de agosto de 2025. Google Cloud+1

Flujo de trabajo del ataque (observado en múltiples incidentes):

Un atacante externo busca puntos finales HTTP que ejecuten Triofox.
Envía una solicitud elaborada:

vbnet

GET /gestión/CommitPage.aspx HTTP/1.1

Host: localhost

La IP externa aparece en los registros web a pesar de Host: localhost. Nube de Google

Se concede el acceso; el atacante navega a AdminBaseDeDatos.aspx y procede al asistente de configuración para crear una nueva cuenta de administrador (por ejemplo, "Cluster Admin").
Con la cuenta de administrador, el atacante inicia sesión y cambia la "Ruta del escáner del motor antivirus" a un script por lotes malicioso (por ejemplo, C:\Windows\Temp\\centre_report.bat). Luego sube cualquier archivo a una carpeta compartida - el escáner ejecuta el script malicioso con privilegios de SISTEMA. Google Cloud+1
El script malicioso descarga herramientas adicionales (por ejemplo, el agente Zoho UEMS, AnyDesk) y establece un túnel SSH inverso (a menudo utilizando binarios Plink o PuTTY renombrados como sihosts.exe/silcon.exe) a través del puerto 433, lo que permite el acceso RDP entrante, el movimiento lateral, la escalada de privilegios y la pertenencia a grupos de administradores de dominio. Nube de Google

Dado que el atacante utiliza flujos de interfaz de usuario legítimos (páginas de configuración) y funciones válidas (motor antivirus), la detección se vuelve más difícil: se mezclan con el comportamiento "normal" del sistema.

Indicadores de compromiso (IOC) y técnicas de caza de amenazas

A continuación se presentan artefactos procesables y métodos de detección para ayudar a su SOC o equipo rojo a identificar posibles usos indebidos de CVE-2025-12480:

Artefactos clave del COI

Entradas del registro web en las que Host: localhost se origina en IPs externas.
Acceso a AdminBaseDeDatos.aspx, AdminAccount.aspx, InitAccount.aspx sin la autenticación adecuada.
Archivos Batch o EXE en C:³\NWindows\NTemp\} con nombres como informe_centro.bat, sihosts.exe, silcon.exe. Nube de Google
Conexiones SSH salientes en el puerto 433 o puertos inusuales, especialmente usando binarios renombrados Plink.
Instalación inesperada de herramientas de acceso remoto (Zoho Assist, AnyDesk) tras el incidente inicial.

Ejemplos de fragmentos de detección

Regla Sigma (registros del servidor web):

yaml

título: Acceso sospechoso a la página de configuración de Triofox (CVE-2025-12480)

logsource:

producto: servidor web

detección:

selección:

http_host_header: "localhost"

uri_path: "/BaseDeDatosAdmin.aspx"

condición: selección

nivel: alto

Consulta Splunk (caza-amenazas):

pgsql

index=web_logs host="triofox.ejemplo.com"

| search uri_path="/BaseDeDatosAdmin.aspx" OR uri_path="/CuentaAdmin.aspx"

| search http_host_header="localhost"

| stats count by src_ip, user_agent, uri_path

| where count > 3

Fragmento de PowerShell (detección de extremos):

powershell

# Detectar binarios Plink/Putty renombrados en Windows Temp.

Get-ChildItem -Path C:³³Windows³Temp -Filter "*.exe" | Where-Object {

$_.Name -in @("sihosts.exe", "silcon.exe", "centre_report.exe")

} | Select-Object FullName, Length, LastWriteTime

Estrategia de mitigación y defensa en profundidad

Los parches son fundamentales, pero para los equipos de seguridad maduros la historia no acaba ahí. Es necesaria una estrategia de defensa por capas.

Parche y actualización

Asegúrese de que todas las instancias Triofox (incluyendo cualquier variante de marca blanca) se actualizan a 16.7.10368.56560 o posterior. Verificar la versión de compilación es tan importante como aplicar el parche. wiz.io

Configuración segura y controles de acceso

Limite el acceso a las interfaces de configuración/gestión para que no estén expuestas a Internet. Utilice únicamente la segmentación de red o el acceso VPN.
Audite todas las cuentas de administrador/nativas. Elimine o deshabilite cualquier cuenta inesperada (por ejemplo, "Cluster Admin" creada fuera del control de cambios).
Revise la configuración de la "Ruta del escáner antivirus": asegúrese de que apunta sólo a ejecutables aprobados en directorios supervisados, no a scripts arbitrarios o descargas externas.
Desactive o gestione estrictamente los flujos "Publicar Compartir" para minimizar la exposición.

Supervisar la actividad de la red y los procesos

Supervise el tráfico SSH/RDP saliente, especialmente a través de puertos no estándar (433, 2222, etc.).
Utilice EDR para detectar la ejecución en línea de comandos de herramientas sospechosas (plink.exe, anydesk.exe, zohoassist.exe).
Vigilar los cambios en C:³³Windows³Temp, C:³\AppCompatu otros directorios transitorios utilizados para almacenar malware.

Pruebas de penetración y validación automatizada de la exposición

A continuación se muestra un ejemplo de escaneo Nmap simple para comprobar si hay puntos finales de gestión Triofox abiertos y una vulnerabilidad en el encabezado Host:

bash

nmap -p 443 --script http-headers --script-args http.host=localhost target.example.com

Si el servidor responde correctamente cuando Host=localhostindica que la desviación puede seguir existiendo.

Del mismo modo, puede producir un script de escaneo Python para consultar múltiples hosts:

python

importar requests, ssl, urllib3

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def comprobar_triofox_vuln(url):

cabeceras = {"Host": "localhost"}

Inténtalo:

r = requests.get(f"{url}/AdminDatabase.aspx", headers=headers, timeout=5, verify=False)

if r.status_code == 200 and "Paso 1: Configuración" in r.text:

print(f"[!] {url} ¡parece vulnerable!")

si no:

print(f"[+] {url} parece parcheada o inaccesible.")

excepto Excepción como e:

print(f "Error al conectar con {url}: {e}")

para host en ['', '']:

check_triofox_vuln(host)

Corrección automatizada y priorización de riesgos

En entornos de gran tamaño, realizar un seguimiento manual de cada implantación resulta poco práctico. Aquí es donde entra en juego la automatización.

Defensa automatizada & Penligent.ai Integración

Si su equipo está adoptando automatización, orquestación de vulnerabilidades y conocimiento basado en IAintegrando una plataforma como Penligent.ai puede elevar significativamente tu postura. Penligent.ai está diseñado para mapear continuamente su infraestructura de intercambio de archivos y acceso remoto, simular cadenas de exploits como la de CVE-2025-12480 y generar entradas de reparación clasificadas por riesgo para sus equipos de TI/devops.

Por ejemplo, Penligent.ai puede:

Descubre todas las instancias de Triofox (incluyendo las no gestionadas/legacy).
Ejecutar simulación de explotación (suplantación del encabezado Host, verificación del acceso de administrador) en una caja de arena segura.
Asignar un puntuación del riesgo en tiempo real basado en la exposición y la inteligencia de amenazas activas (por ejemplo, el uso de UNC6485).
Proporcione orientaciones prácticas para remediar la situaciónRecomendación inmediata de parches (actualización a la versión 16.7.10368.56560 o superior), medidas de refuerzo de la configuración (restricción del acceso a la página de configuración, validación de rutas antivirus), eliminación o auditoría de cuentas administrativas sospechosas.

En el contexto de CVE-2025-12480, esta automatización transforma la defensa de reactiva ("aplicar parche y esperar") a proactiva ("detectar, simular, priorizar, remediar"). Dada la velocidad a la que los adversarios convierten las vulnerabilidades en armas, este cambio es vital.

Pruebe Pentesting ahora

Lecciones aprendidas y conclusiones estratégicas

De CVE-2025-12480 y su campaña de explotación se desprenden varias lecciones de gran valor:

Los fallos de derivación de autenticación siguen figurando entre las categorías de mayor riesgo: incluso las plataformas maduras pueden tropezar con vulnerabilidades lógicas como confiar en Host: localhost.
Las funciones destinadas a la protección (por ejemplo, los motores antivirus) pueden utilizarse indebidamente si se configuran mal.
El hecho de que los exploits salgan a la luz tan pronto (días después de su revelación) significa que las ventanas de aplicación de parches deben reducirse, por lo que la automatización y la validación continua pasan a ser fundamentales.
La desviación de la configuración, las implantaciones heredadas y las variantes no gestionadas suponen un riesgo oculto que va mucho más allá de la simple comprobación de versiones.
La gestión de la exposición (saber dónde están sus activos, cómo están configurados, quién tiene acceso) es tan importante como los parches.

Preguntas frecuentes - Referencia rápida

P: ¿Qué es CVE-2025-12480? R: Una vulnerabilidad crítica de control de acceso inadecuado en Triofox que permite a atacantes no autenticados saltarse la autenticación y lograr la ejecución remota de código.

P: ¿Se está explotando activamente la vulnerabilidad? R: Sí. Mandiant/Google Cloud confirmó que el clúster de actores de amenazas UNC6485 lo explotó desde al menos el 24 de agosto de 2025. Nube de Google

P: ¿Qué productos/versiones son vulnerables? R: Las versiones de Triofox anteriores a 16.7.10368.56560 (y probablemente las implantaciones de marca blanca como CentreStack) están afectadas.

P: ¿Qué medidas deben adoptar inmediatamente las organizaciones? R: - Parchear a la última versión - Auditar todas las cuentas de administrador - Validar la configuración de la ruta del antivirus - Supervisar los túneles SSH/RDP inusuales - Aprovechar la automatización para la gestión continua de la exposición.

Conclusión

CVE-2025-12480 muestra cómo un fallo lógico en la confianza (cabecera Host), combinado con el abuso de funciones (motor antivirus), puede llevar en cascada a un compromiso total del sistema en plataformas empresariales de intercambio de archivos. Para los equipos de seguridad, el camino a seguir es claro: parchear rápido, pero no detenerse ahí. Integre prácticas de higiene de la configuración, supervisión continua y plataformas de automatización (como Penligent.ai) en su ciclo de vida de gestión de vulnerabilidades. De este modo, no sólo responderá a las amenazas, sino que se adelantará a ellas.

Comparte el post:

Entradas relacionadas

Firefox Nightly Wasm GC 0-Day: How a One-Character & Typo Became a Memory-Corruption Chain

Why this Firefox “0-day” matters even if you don’t run Nightly This incident is a rare gift to defenders: a

Seguir leyendo

CVE-2025-4517 PoC Without Weaponizing It: Proving the Tarfile Extraction Boundary Breaks in Real Automation

Why this CVE shows up in real pipelines more than people expect When engineers search for “cve-2025-4517 poc”, they’re rarely

Seguir leyendo