CVE-2025-12480の説明：Triofoxの脆弱性が積極的に悪用されている

CVE-2025-12480とは何ですか？

CVE-2025-12480は 不適切なアクセス制御による致命的な脆弱性 Triofoxエンタープライズファイル共有/リモートアクセスプラットフォームでこれにより 認証されていない攻撃者 HTTPのHostヘッダを詐称して(例えば "localhost "を使って)初期設定/セットアップページに到達し、管理者アカウントを作成し、組み込みのウイルス対策機能を活用してSYSTEM権限で任意のコードを実行する。この不具合は野放し状態で活発に悪用されているため、SOC、レッドチーム、脆弱性管理チームは早急に注意を払う必要がある。

トリオフォックスのアクセスバイパス欠陥の技術的内訳

CVE-2025-12480を危険なものにしている核心は、次の関数にある欠陥のあるロジックである。 CanRunCriticalPage() Triofoxのコードベース内部（具体的には GladPageUILib.GladBasePage クラス)。Google Cloud Securityのブログに掲載されたMandiantによる公式調査によると、もしHTTPホスト ヘッダが "localhost "に等しい場合、この関数はアクセスを許可する。 さらに検証することなく. グーグル・クラウド+1

以下は、C#風の簡略化した擬似コードである：

c#

public bool CanRunCriticalPage(HttpRequest request) { { { { { CanRunCriticalPage(HttpRequest request)

string host = request.Url.Host；

// 脆弱なロジック：信頼するホスト == "localhost"

if (string.Compare(host, "localhost", true) == 0) {.

return true; // バイパスポイント

}

string trustedIP = ConfigurationManager.AppSettings["TrustedHostIp"]；

if (string.IsNullOrEmpty(trustedIP)){

false を返す；

}

if (this.GetIPAddress() == trustedIP) {。

trueを返す；

}

false を返す；

}

なぜなら ホスト の値は攻撃者にコントロールされている。 オリジン・バリデーションなし外部の攻撃者は、単に ホスト: localhost のような管理ページにアクセスできるようになる。 管理データベース.aspx そして 管理者アカウント.aspx.内部に侵入すると、ネイティブの「クラスタ管理者」アカウントを作成し、侵入後に実行することができる。 ヘルプ・ネット・セキュリティ

野生では、攻撃者は内蔵のアンチウイルス・エンジンを悪用し、次のようにスキャナーのパスを変更することで、これを連鎖させている。 ファイルのアップロードが悪意のあるスクリプトを引き起こす.事実上、認証されていないアクセス → 管理者の乗っ取り → 任意のコードの実行 - すべて初期認証情報なしで。

影響を受ける製品、バージョン、パッチステータス

製品	脆弱なバージョン	パッチ版
トリオフォックス	16.7.10368.56560より前のバージョン	16.7.10368.56560 (以上)
センタースタック	トリオフォックスのホワイトラベルが影響を受ける	対応するパッチビルド

• 多くの企業では、Triofoxのホワイトラベル版（CentreStackなど）を使用している。

公式情報源によれば、NVDのエントリにはこの欠陥が「不適切なアクセス制御」として記載されており、CVSS v3.1の基本スコアは以下の通りである。 9.1 - 攻撃ベクトルネットワーク; 攻撃の複雑さ：低い、必要な特権：必要な特権：なし

パッチが適用されたバージョンより前のTriofoxインスタンスが環境に含まれている場合、そのインスタンスは公開されたままとなります。

野生のエクスプロイト：攻撃の連鎖と実際の結果

Mandiant / Google Cloudからの報告と遠隔測定に基づき、脅威行為者のクラスタは以下のように追跡された。 UNC6485 は早くもこの欠陥を悪用し始めた。 2025年8月24日. グーグル・クラウド+1

攻撃のワークフロー（複数のインシデントで観察された）：

1. 外部攻撃者は、Triofoxを実行しているHTTPエンドポイントをスキャンする。
2. 細工したリクエストを送信する：

ブイビーネット

GET /管理/CommitPage.aspx HTTP/1.1

ホスト: localhost

外部IPがウェブログに表示されるにもかかわらず ホスト: localhost. グーグル・クラウド

1. アクセスが許可される。 管理データベース.aspx をクリックし、セットアップ・ウィザードに進んで新しい管理者アカウント(例えば "Cluster Admin")を作成します。
2. 攻撃者は管理者アカウントでログインし、「Anti-Virus Engine Scanner Path」を悪意のあるバッチスクリプト（例． C:￤Windows￤Temp￤centreport.bat).その後、共有フォルダに任意のファイルをアップロードすると、スキャナは悪意のあるスクリプトをSYSTEM権限で実行する。 グーグル・クラウド+1
3. 悪意のあるスクリプトは、追加のツール（Zoho UEMSエージェント、AnyDeskなど）をダウンロードし、リバースSSHトンネルを確立します（多くの場合、次のようなリネームされたPlinkまたはPuTTYバイナリを使用します）。 sihosts.exe/シルコンエグゼポート433）経由で、インバウンドRDPアクセス、横移動、特権昇格、ドメイン管理者グループメンバーシップを可能にする。 グーグル・クラウド

攻撃者は正当なUIフロー（セットアップ・ページ）と有効な機能（アンチウィルス・エンジン）を使っているため、検知はより困難になる。

侵害の指標（IOC）と脅威ハンティングのテクニック

SOCまたはレッドチームがCVE-2025-12480の潜在的な悪用を特定するのに役立つ、実用的なアーティファクトと検出方法を紹介します：

IOCの主な成果物

• ウェブログ・エントリー ホスト: localhost は外部IPから発信されている。
• アクセス 管理データベース.aspx, 管理者アカウント.aspx, InitAccount.aspx 適切な認証なしに。
• バッチファイルまたは C:♪Windows などの名前がある。 センター・レポート.bat, sihosts.exe, シルコンエグゼ. グーグル・クラウド
• 特にPlinkのリネームされたバイナリを使用している場合。
• 最初のインシデントの後に、予期しないリモートアクセスツール（Zoho Assist、AnyDesk）がインストールされた。

サンプル検出スニペット

シグマ・ルール（ウェブ・サーバー・ログ）：

ヤムル

タイトル疑わしい Triofox 設定ページへのアクセス (CVE-2025-12480)

ログソース

製品: ウェブサーバー

検出：

を選択した：

http_host_header："localhost"

uri_path："/AdminDatabase.aspx"

条件：選択

レベル：高

Splunk クエリ (脅威ハント)：

pgsql

index=web_logs host="triofox.example.com"

| 検索 uri_path="/AdminDatabase.aspx" OR uri_path="/AdminAccount.aspx"

| 検索 http_host_header="localhost"

| src_ip、user_agent、uri_pathによる統計カウント

| カウント > 3

PowerShellスニペット（エンドポイント検出）：

パワーシェル

# Windows Temp で名前を変更した Plink/Putty バイナリを検出する

Get-ChildItem -Path C:￭Windows￭Temp -Filter "*.exe" | Where-Object {.

$_.Name -in @("sihosts.exe", "silcon.exe", "centre_report.exe")

}| セレクトオブジェクト FullName, Length, LastWriteTime

ミティゲーション＆ディフェンス徹底戦略

パッチを当てることは重要だが、成熟したセキュリティ・チームにとっては、話はそれだけでは終わらない。重層的な防御戦略が必要なのだ。

1. パッチ＆アップデート

すべてのTriofoxインスタンス（ホワイトレーベルを含む）が次のようにアップデートされていることを確認します。 16.7.10368.56560 またはそれ以降でなければなりません。ビルドバージョンの確認は、パッチの適用と同じくらい重要です。 ウィズ・アイオ

1. セキュアな設定とアクセス制御

• 設定/管理インターフェイスへのアクセスを制限し、インターネットに露出しないようにする。ネットワークセグメンテーションまたはVPNアクセスのみを使用する。
• すべての管理者/ネイティブアカウントを監査する。予期しないアカウント（変更管理外で作成された「クラスタ管理者」など）を削除または無効にする。
• アンチウィルス・スキャナのパス "設定を見直す：監視対象ディレクトリの下にある承認済みの実行ファイルのみを指すようにする。
• Publish Share "フローを無効にするか、厳密に管理し、露出を最小限に抑える。

1. ネットワークとプロセスのアクティビティを監視する

• 特に非標準ポート（433、2222など）経由のSSH/RDPトラフィックを監視する。
• EDRを使用して、不審なツールのコマンドライン実行を検出する(プランクエグゼ, エニーデスクエグゼ, zohoassist.exe).
• の変化を監視する。 C:♪Windows ♪Temp, C:♪AppCompatまたはマルウェアのステージングに使用されるその他の一時的なディレクトリ。

1. 侵入テストと自動暴露検証

以下は、オープンなTriofox管理エンドポイントとHostヘッダーの脆弱性をチェックする簡単なNmapスキャンの例である：

バッシュ

nmap -p 443 --script http-headers --script-args http.host=localhost target.example.com

もしサーバーが ホスト=ローカルホストこれは、バイパスがまだ存在する可能性があることを示している。

同様に、複数のホストに問い合わせるPythonスキャンスクリプトを作成することもできる：

パイソン

import requests, ssl, urllib3

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def check_triofox_vuln(url)：

headers = {"Host"：「localhost"} です。

トライしてみよう：

r = requests.get(f"{url}/AdminDatabase.aspx", headers=headers, timeout=5, verify=False)

if r.status_code == 200 and "Step 1: Setup" in r.text：

print(f"[!] {url}が脆弱に見える！")

そうでなければ

print(f"[+] {url}にパッチが適用されているか、アクセスできないようです。")

例外を除く：

print(f"{url}への接続エラー：{e}")

for host in ['', '']：

check_triofox_vuln(ホスト)

1. 自動化された修復とリスクの優先順位付け

大規模な環境では、手作業で各配備を追跡するのは現実的ではない。そこで自動化の出番となる。

自動防衛 ペンリジェント 統合

もしあなたのチームが 自動化、脆弱性オーケストレーション、AI主導のインサイトのようなプラットフォームを統合する。 ペンリジェント は姿勢を大きく改善することができる。 ペンリジェント は、ファイル共有やリモートアクセスのインフラを継続的にマッピングし、CVE-2025-12480のようなエクスプロイト・チェーンをシミュレートし、次のようなコードを生成するように設計されています。 リスクランク付き救済チケット IT/Devopsチームのために。

例えば、こうだ、 ペンリジェント ができる：

• すべてのTriofoxインスタンス（アンマネージド/レガシーを含む）を検出します。
• 走る エクスプロイト・シミュレーション (ホストヘッダのなりすまし、管理者アクセスの検証)を安全なサンドボックスで行う。
• を割り当てる。 リアルタイム・リスクスコア 暴露と能動的な脅威情報（UNC6485の使用状況など）に基づく。
• 提供 実行可能な改善ガイダンス即座のパッチの推奨（16.7.10368.56560以上へのアップグレード）、設定のハードニング（セットアップページへのアクセスの制限、アンチウイルスパスの検証）、疑わしい管理者アカウントの削除または監査。

CVE-2025-12480の文脈では、このような自動化は、防御をリアクティブ（「パッチを適用して望む」）からプロアクティブ（「検出、シミュレート、優先順位付け、修復」）に変える。敵が脆弱性を武器化するスピードを考えると、この転換は極めて重要である。

教訓と戦略的要点

CVE-2025-12480とその悪用キャンペーンから、いくつかの価値の高い教訓が浮かび上がる：

• 認証バイパスの欠陥は、依然として最もリスクの高いカテゴリーの一つであり、成熟したプラットフォームでさえ、以下のようなロジックの脆弱性でつまずく可能性がある。 ホスト: localhost.
• 防御を目的とした機能（アンチウイルスエンジンなど）は、設定を誤ると悪用される可能性がある。
• 公開から数日後という非常に早い段階でエクスプロイトが野放しになっているということは、パッチウィンドウを縮小する必要があるということであり、自動化と継続的な検証が重要になる。
• コンフィギュレーションのドリフト、レガシーなデプロイメント、管理されていないバリアントは、単純なバージョンチェックをはるかに超える隠れたリスクをもたらす。
• 曝露管理（資産がどこにあり、どのように設定され、誰がアクセスできるかを知ること）は、パッチを当てることと同じくらい重要である。

よくある質問 - クイック・リファレンス

Q: CVE-2025-12480とは何ですか？ A: Triofox に不適切なアクセス制御の脆弱性があり、認証されていない攻撃者が認証をバイパスし、リモートでコードを実行される可能性があります。

Q: 脆弱性は積極的に悪用されていますか？ A: はい。Mandiant/Google Cloudは、脅威行為者クラスタUNC6485が少なくとも2025年8月24日からこれを悪用していたことを確認しました。 グーグル・クラウド

Q: どの製品/バージョンが脆弱ですか？ A: Triofoxの16.7.10368.56560より前のバージョン（およびCentreStackのようなホワイトラベルのデプロイメント）が影響を受けます。

Q：組織は直ちにどのような措置を取るべきか？ A: - 最新バージョンへのパッチ - すべての管理者アカウントの監査 - アンチウイルス・パス構成の検証 - 異常なSSH/RDPトンネルの監視 - 継続的な暴露管理のための自動化の活用

結論

CVE-2025-12480は、信頼（Hostヘッダー）のロジック欠陥が、機能の乱用（アンチウイルスエンジン）と組み合わさることで、企業のファイル共有プラットフォームにおいて、どのように完全なシステム侵害へと連鎖するかを示している。セキュリティ・チームにとって、進むべき道は明確である。コンフィギュレーション・ハイジーンの実践、継続的モニタリング、自動化プラットフォーム（たとえば、以下のような）を統合する。 ペンリジェントを脆弱性管理のライフサイクルに組み込もう。そうすることで、脅威に対応するだけでなく、脅威の先を行くことができる。