הסבר על CVE-2025-12480: פגיעות Triofox הנמצאת בניצול פעיל

מהו CVE‑2025‑12480? (תשובה קצרה)

CVE‑2025‑12480 הוא פגיעות קריטית בבקרת גישה בפלטפורמת שיתוף הקבצים/גישה מרחוק של Triofox. היא מאפשרת תוקפים לא מאומתים להגיע לדפי התצורה/ההגדרה הראשוניים על ידי זיוף כותרת ה-HTTP Host (למשל, באמצעות "localhost"), ואז ליצור חשבון ניהולי ולנצל תכונה מובנית של אנטי-וירוס כדי להריץ קוד שרירותי עם הרשאות SYSTEM. מכיוון שפגם זה מנוצל באופן פעיל בשטח, הוא דורש התייחסות מיידית מצד SOCs, צוותי red teams וצוותי ניהול פגיעות.

פירוט טכני של הפגם ב-Triofox Access‑Bypass

בעיקרו של דבר, מה שהופך את CVE‑2025‑12480 למסוכן כל כך הוא הלוגיקה הפגומה בפונקציה. CanRunCriticalPage() בתוך בסיס הקוד של Triofox (בפרט, ה- GladPageUILib.GladBasePage class). על פי החקירה הרשמית של Mandiant בבלוג של Google Cloud Security, אם HTTP מארח הכותרת שווה ל-"localhost", הפונקציה מעניקה גישה ללא אימות נוסף. Google Cloud+1

להלן קטע קוד מדומה בסגנון C# הממחיש את ההיגיון:

c#

public bool CanRunCriticalPage(HttpRequest request) {

מחרוזת host = request.Url.Host;

// לוגיקה פגיעה: אמון ב-Host == "localhost"

if (string.Compare(host, "localhost", true) == 0) {

return true; // עקיפת נקודה

}

מחרוזת trustedIP = ConfigurationManager.AppSettings["TrustedHostIp"];

if (string.IsNullOrEmpty(trustedIP)) {

החזר false;

}

if (this.GetIPAddress() == trustedIP) {

החזר true;

}

החזר false;

}

מכיוון שה מארח הערך נשלט על ידי התוקף ויש אין אימות מקור, תוקף חיצוני יכול פשוט להגדיר מארח: localhost בבקשת ה-HTTP שלהם ולקבל גישה לדפי ניהול כגון AdminDatabase.aspx ו AdminAccount.aspx. ברגע שהם נכנסים, הם יכולים ליצור חשבון "Cluster Admin" מקורי ולבצע ניצול לאחר הפריצה. עזרה ברשת אבטחה

בפועל, תוקפים שילבו זאת עם שימוש לרעה במנוע האנטי-וירוס המובנה — על ידי שינוי נתיב הסורק כך ש העלאת קבצים מפעילה סקריפטים זדוניים. למעשה: גישה לא מאומתת → השתלטות על חשבון מנהל → ביצוע קוד שרירותי — והכל ללא אישורים ראשוניים.

מוצרים, גרסאות ומצב תיקון מושפעים

מוצר	גרסאות פגיעות	גרסה מתוקנת
טריופוקס	גרסאות שקדמו ל-16.7.10368.56560	16.7.10368.56560 (ומעלה)
CentreStack*	גרסאות דומות שנפגעו (מותג לבן של Triofox)	בנייה מתוקנת תואמת

• פריסות ארגוניות רבות משתמשות בגרסאות תוכנה של Triofox תחת מותג לבן (לדוגמה, CentreStack); גם אלה חייבות להיחשב כפגיעות.

מקורות רשמיים מציינים כי הרישום ב-NVD מתייחס לבעיה זו כאל פגם ב"בקרת גישה לא תקינה", עם ציון בסיס CVSS v3.1 של 9.1 — וקטור תקיפה: רשת; מורכבות התקיפה: נמוכה; הרשאות נדרשות: אין;

אם בסביבתך קיים מופע של Triofox שקודם לגרסה המתוקנת, הוא יישאר חשוף.

ניצול בפועל: שרשרת התקפות ותוצאות בעולם האמיתי

בהתבסס על הדיווחים והטלמטריה של Mandiant/Google Cloud, קבוצת התוקפים שעוקבה אחריה כ UNC6485 החל לנצל את הפגם הזה כבר ב 24 באוגוסט 2025. Google Cloud+1

תהליך ההתקפה (נצפה במספר אירועים):

1. תוקף חיצוני סורק אחר נקודות קצה HTTP המריצות את Triofox.
2. שולח בקשה מעוצבת:

vbnet

GET /management/CommitPage.aspx HTTP/1.1

מארח: localhost

כתובת IP חיצונית מופיעה ביומני האינטרנט למרות מארח: localhost. ענן גוגל

1. הגישה מאושרת; התוקף מנווט אל AdminDatabase.aspx וממשיך לאשף ההתקנה כדי ליצור חשבון מנהל חדש (לדוגמה, "מנהל אשכול").
2. באמצעות חשבון המנהל, התוקף מתחבר ומשנה את "נתיב סורק מנוע האנטי-וירוס" לקובץ אצווה זדוני (לדוגמה, C:\\Windows\\Temp\\centre_report.bat). לאחר מכן, הוא מעלה כל קובץ לתיקיה משותפת — הסורק מפעיל את הסקריפט הזדוני עם הרשאות SYSTEM. Google Cloud+1
3. הסקריפט הזדוני מוריד כלים נוספים (למשל, Zoho UEMS agent, AnyDesk) ומקים מנהרת SSH הפוכה (לעתים קרובות באמצעות קבצים בינאריים ששמם שונה, כגון Plink או PuTTY). sihosts.exe/silcon.exe) דרך יציאה 433, המאפשרת גישה RDP נכנסת, תנועה רוחבית, העלאת הרשאות, חברות בקבוצת Domain Admin. ענן גוגל

מכיוון שהתוקף משתמש בזרימות ממשק משתמש לגיטימיות (דפי הגדרה) ובתכונות תקפות (מנוע אנטי-וירוס), הזיהוי הופך למאתגר יותר — הם משתלבים בהתנהגות "נורמלית" של המערכת.

אינדיקטורים לפריצה (IOC) וטכניקות לאיתור איומים

להלן אמצעים מעשיים ושיטות זיהוי שיעזרו ל-SOC או לצוות האדום שלכם לזהות שימוש פוטנציאלי לרעה ב-CVE-2025-12480:

אביזרי IOC עיקריים

• רשומות יומן רשת שבהן מארח: localhost מקורו בכתובות IP חיצוניות.
• גישה ל AdminDatabase.aspx, AdminAccount.aspx, InitAccount.aspx ללא אימות מתאים.
• קבצי Batch או EXE ב C:\\Windows\\Temp\\ עם שמות כגון centre_report.bat, sihosts.exe, silcon.exe. ענן גוגל
• חיבורי SSH יוצאים ביציאה 433 או ביציאות חריגות, במיוחד באמצעות קבצים בינאריים ששמם שונה באמצעות Plink.
• כלי גישה מרחוק בלתי צפויים הותקנו (Zoho Assist, AnyDesk) לאחר האירוע הראשוני.

דוגמאות לקטעי זיהוי

כלל סיגמא (יומני שרת אינטרנט):

yaml

כותרת: גישה חשודה לדף ההתקנה של Triofox (CVE‑2025‑12480)

מקור היומן:

מוצר: שרת אינטרנט

זיהוי:

בחירה:

http_host_header: "localhost"

uri_path: "/AdminDatabase.aspx"

תנאי: בחירה

רמה: גבוהה

שאילתת Splunk (איתור איומים):

pgsql

index=web_logs host="triofox.example.com"

| חיפוש uri_path="/AdminDatabase.aspx" או uri_path="/AdminAccount.aspx"

| חיפוש http_host_header="localhost"

| סטטיסטיקה לפי src_ip, user_agent, uri_path

| כאשר מספר > 3

קטע קוד PowerShell (זיהוי נקודת קצה):

powershell

# זיהוי קבצים בינאריים ששמם שונה ל-Plink/Putty ב-Windows Temp

Get‑ChildItem -Path C:\\Windows\\Temp -Filter "*.exe" | Where‑Object {

$_.Name -in @("sihosts.exe", "silcon.exe", "centre_report.exe")

} | בחר אובייקט FullName, Length, LastWriteTime

אסטרטגיית הפחתה והגנה מעמיקה

תיקון הוא קריטי, אך עבור צוותי אבטחה מנוסים הסיפור לא נגמר כאן. נדרשת אסטרטגיית הגנה רב-שכבתית.

1. תיקון ועדכון

ודא שכל מופעי Triofox (כולל כל הגרסאות הלבנות) מעודכנים ל 16.7.10368.56560 או מאוחר יותר. אימות גרסת הבנייה חשוב לא פחות מהחלת התיקון. wiz.io

1. תצורה מאובטחת ובקרות גישה

• הגבל את הגישה לממשקי ההתקנה/ניהול כך שלא יהיו חשופים לאינטרנט. השתמש רק בפיצול רשת או בגישה ל-VPN.
• בדוק את כל חשבונות המנהל/החשבונות המקוריים. מחק או השבת כל חשבון בלתי צפוי (לדוגמה, "מנהל אשכול" שנוצר מחוץ לבקרת השינויים).
• בדוק את ההגדרה "נתיב סורק האנטי-וירוס": ודא שהיא מצביעה רק על קבצים מאושרים תחת ספריות מנוטרות — ולא על סקריפטים שרירותיים או הורדות חיצוניות.
• השבת או נהל בקפדנות את זרימות "פרסום ושיתוף" כדי למזער את החשיפה.

1. ניטור פעילות הרשת והתהליכים

• עקוב אחר תעבורת SSH/Reverse RDP יוצאת, במיוחד דרך יציאות לא סטנדרטיות (433, 2222 וכו').
• השתמש ב-EDR כדי לזהות ביצוע של כלי חשודים בשורת הפקודה (plink.exe, anydesk.exe, zohoassist.exe).
• עקוב אחר שינויים ב C:\\Windows\\Temp, C:\\AppCompat, או ספריות אחרות המשמשות לאחסון זמני של תוכנות זדוניות.

1. בדיקות חדירה ואימות חשיפה אוטומטי

להלן דוגמה פשוטה לסריקת Nmap לבדיקת נקודות קצה פתוחות של Triofox ונקודת תורפה בכותרת Host:

לנזוף

nmap -p 443 --script http‑headers --script‑args http.host=localhost target.example.com

אם השרת מגיב בהצלחה כאשר מארח=localhost, הדבר מעיד על כך שהמעקף עדיין קיים.

באופן דומה, ניתן ליצור סקריפט סריקה ב-Python כדי לשאול מספר מארחים:

פייתון

בקשות ייבוא, ssl, urllib3

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def check_triofox_vuln(url):

כותרות = {"מארח": "localhost"}

נסה:

r = requests.get(f"{url}/AdminDatabase.aspx", headers=headers, timeout=5, verify=False)

אם r.status_code == 200 ו-"שלב 1: הגדרה" ב-r.text:

הדפס(f"[!] {url} נראה פגיע!")

אחרת:

הדפס(f"[+] {url} נראה מתוקן או בלתי נגיש.")

למעט חריג כ-e:

הדפס(f"שגיאה בחיבור ל-{url}: {e}")

עבור מארח ב-['', '']:

check_triofox_vuln(מארח)

1. תיקון אוטומטי ותעדוף סיכונים

בסביבות גדולות, מעקב ידני אחר כל פריסה אינו מעשי. כאן נכנסת האוטומציה לתמונה.

הגנה אוטומטית & Penligent.ai אינטגרציה

אם הצוות שלכם מאמץ אוטומציה, תזמור פגיעות ותובנות מבוססות בינה מלאכותית, שילוב פלטפורמה כגון Penligent.ai יכול לשפר משמעותית את היציבה שלך. Penligent.ai נועד למפות באופן רציף את תשתית שיתוף הקבצים והגישה מרחוק שלכם, לדמות שרשראות ניצול כמו זו של CVE-2025-12480, וליצור כרטיסי תיקון מסווגים לפי רמת סיכון לצוותי ה-IT/devops שלכם.

לדוגמה, Penligent.ai יכול:

• גלה את כל מופעי Triofox (כולל מופעים לא מנוהלים/ישנים).
• לרוץ סימולציית ניצול (זיוף כותרת Host, אימות גישת מנהל) בסביבת בדיקה בטוחה.
• הקצה ציון סיכון בזמן אמת בהתבסס על חשיפה ומידע מודיעיני על איומים פעילים (לדוגמה, שימוש ב-UNC6485).
• לספק הנחיות לתיקון בר-ביצוע, כולל:המלצות מיידיות לתיקון (שדרוג לגרסה 16.7.10368.56560 ומעלה),צעדים לחיזוק התצורה (הגבלת הגישה לדף ההגדרות, אימות נתיבי האנטי-וירוס),הסרה או ביקורת של חשבונות ניהול חשודים.

בהקשר של CVE‑2025‑12480, אוטומציה כזו הופכת את ההגנה מתגובתית ("להחיל תיקון ולצפות לטוב") ליזומה ("לזהות, לדמות, לתעדף, לתקן"). לאור המהירות שבה יריבים מנצלים פגיעויות, שינוי זה הוא חיוני.

לקחים שנלמדו ומסקנות אסטרטגיות

מ-CVE‑2025‑12480 ומקמפיין הניצול שלו עולים מספר לקחים חשובים:

• פגמים בעקיפת אימות נותרים בקטגוריות הסיכון הגבוהות ביותר — אפילו פלטפורמות בוגרות עלולות למעוד על פגיעויות לוגיות כמו אמון מארח: localhost.
• תכונות שנועדו להגנה (למשל, מנועי אנטי-וירוס) עלולות להיות מנוצלות לרעה כאשר הן מוגדרות באופן שגוי — כלי ההגנה עצמם חייבים להיות מחוזקים.
• ניצול פרצות אבטחה בשלב כה מוקדם (ימים ספורים לאחר חשיפתן) מחייב קיצור חלון הזמן לתיקון הפרצות — ולכן אוטומציה ואימות רציף הופכים להיות קריטיים.
• סטיות בתצורה, פריסות ישנות וגרסאות לא מנוהלות מהוות סיכון סמוי החורג הרבה מעבר לבדיקות גרסה פשוטות.
• ניהול חשיפה (ידיעה היכן נמצאים הנכסים שלכם, כיצד הם מוגדרים, מי יש לו גישה אליהם) חשוב לא פחות מתיקון.

שאלות נפוצות – התייחסות מהירה

ש: מהו CVE‑2025‑12480? ת: פגיעות קריטית בבקרת הגישה ב-Triofox, המאפשרת לתוקפים לא מאומתים לעקוף את האימות ולהשיג ביצוע קוד מרחוק.

ש: האם הפגיעות מנוצלת באופן פעיל? ת: כן. Mandiant/Google Cloud אישרו כי קבוצת התוקפים UNC6485 ניצלה את הפרצה לפחות מאז 24 באוגוסט 2025. ענן גוגל

ש: אילו מוצרים/גרסאות פגיעים? ת: גרסאות Triofox שקדמו לגרסה 16.7.10368.56560 (וככל הנראה גם פריסות תוכנה תחת מותג לבן כמו CentreStack) מושפעות.

ש: אילו צעדים צריכים ארגונים לנקוט באופן מיידי? ת: – עדכון לגרסה האחרונה – ביקורת של כל חשבונות המנהלים – אימות תצורת נתיב האנטי-וירוס – ניטור מנהרות SSH/RDP חריגות – ניצול אוטומציה לניהול חשיפה רציף

סיכום

CVE‑2025‑12480 מראה כיצד פגם לוגי באמון (כותרת Host), בשילוב עם שימוש לרעה בתכונה (מנוע אנטי-וירוס), יכול להוביל לפגיעה מלאה במערכת בתוך פלטפורמות שיתוף קבצים ארגוניות. עבור צוותי אבטחה, הדרך קדימה ברורה: יש להתקין תיקונים במהירות, אך לא לעצור שם. יש לשלב שיטות עבודה נכונות לתצורה, ניטור רציף ופלטפורמות אוטומציה (כגון Penligent.ai) לתוך מחזור החיים של ניהול הפגיעות שלכם. כך לא תסתפקו רק בתגובה לאיומים — אלא תישארו צעד אחד לפניהם.