CVE-2025-12480 설명: 활성 익스플로잇 중인 트리오폭스 취약점

CVE-2025-12480이란 무엇인가요? (빠른 답변)

CVE-2025-12480은 중대한 부적절한 액세스 제어 취약성 를 Triofox 엔터프라이즈 파일 공유/원격 액세스 플랫폼에 추가했습니다. 다음을 지원합니다. 인증되지 않은 공격자 를 사용하여 HTTP 호스트 헤더를 스푸핑하여 초기 구성/설정 페이지에 도달한 다음(예: "localhost" 사용), 관리자 계정을 생성하고 내장된 안티바이러스 기능을 활용하여 시스템 권한으로 임의의 코드를 실행할 수 있습니다. 이 결함은 야생에서 활발하게 악용되고 있으므로 SOC, 레드팀, 취약점 관리팀의 즉각적인 주의가 필요합니다.

트리폭스 액세스 우회 결함의 기술적 분석

CVE-2025-12480을 위험하게 만드는 핵심은 함수의 결함 있는 로직입니다. 캔런크리티컬페이지() 트리오폭스의 코드 베이스 내부(특히 GladPageUILib.GladBasePage 클래스). 구글 클라우드 보안 블로그에 게시된 맨디언트의 공식 조사에 따르면, HTTP호스트 헤더가 "localhost"인 경우, 함수는 액세스 권한을 부여합니다. 추가 확인 없이. Google 클라우드 +1

다음은 로직을 설명하는 간단한 C# 스타일의 의사 코드 스니펫입니다:

c#

public bool CanRunCriticalPage(HttpRequest request) {

문자열 host = request.Url.Host;

// 취약한 논리: 신뢰하는 호스트 == "localhost"

if (string.Compare(host, "localhost", true) == 0) {

반환 참; // 바이패스 포인트

}

문자열 trustedIP = ConfigurationManager.AppSettings["TrustedHostIp"];

if (string.IsNullOrEmpty(trustedIP)) {

거짓을 반환합니다;

}

if (this.GetIPAddress() == trustedIP) {

참을 반환합니다;

}

거짓을 반환합니다;

}

왜냐하면 호스트 값은 공격자가 제어하며 원산지 유효성 검사 없음외부 공격자는 간단히 설정할 수 있습니다. 호스트: localhost 를 HTTP 요청에 포함시켜 다음과 같은 관리 페이지에 액세스할 수 있습니다. AdminDatabase.aspx 그리고 관리자 계정.aspx. 일단 내부에 들어가면 기본 "클러스터 관리자" 계정을 만들고 사후 익스플로잇을 수행할 수 있습니다. 헬프넷 보안

공격자들은 스캐너 경로를 변경하여 다음과 같이 내장된 바이러스 백신 엔진을 악용하는 방식으로 이를 연결했습니다. 파일 업로드가 악성 스크립트를 트리거하는 경우. 실제로 인증되지 않은 액세스 → 관리자 탈취 → 임의 코드 실행이 모두 초기 자격 증명 없이 이루어집니다.

CVE-2025-12480

영향을 받는 제품, 버전 및 패치 상태

제품	취약한 버전	패치된 버전
Triofox	16.7.10368.56560 이전 버전	16.7.10368.56560(이상)
CentreStack*	영향을 받는 유사한 빌드(Triofox의 화이트 라벨)	해당 패치된 빌드

많은 기업 배포에서 화이트 라벨 버전의 Triofox(예: CentreStack)를 사용하므로 이 역시 취약한 것으로 취급해야 합니다.

공식 소식통에 따르면 NVD 항목은 이를 "부적절한 액세스 제어" 결함으로 분류하고 있으며, CVSS v3.1 기본 점수는 다음과 같습니다. 9.1 - 공격 벡터: 네트워크; 공격 복잡성: 낮음; 권한 필요: 없음;

사용자 환경에 패치된 버전 이전의 Triofox 인스턴스가 포함되어 있는 경우, 해당 인스턴스는 계속 노출된 상태로 유지됩니다.

야생에서의 익스플로잇: 공격 체인 및 실제 결과

Mandiant/Google Cloud의 보고 및 원격 분석에 따르면 위협 행위자 클러스터는 다음과 같이 추적되었습니다. UNC6485 일찍이 이 결함을 악용하기 시작했습니다. 2025년 8월 24일. Google 클라우드 +1

공격 워크플로(여러 인시던트에서 관찰됨):

외부 공격자가 Triofox를 실행하는 HTTP 엔드포인트를 검색합니다.
작성된 요청을 전송합니다:

vbnet

GET /management/CommitPage.aspx HTTP/1.1

호스트: localhost

외부 IP가 웹 로그에 표시됨에도 불구하고 호스트: localhost. Google 클라우드

액세스 권한이 부여되면 공격자는 다음 위치로 이동합니다. AdminDatabase.aspx 를 클릭하고 설정 마법사로 이동하여 새 관리자 계정(예: "클러스터 관리자")을 만듭니다.
공격자는 관리자 계정으로 로그인하여 "안티바이러스 엔진 스캐너 경로"를 악성 배치 스크립트로 변경합니다(예, C:\\Windows\\Temp\\centre_report.bat). 그런 다음 공유 폴더에 파일을 업로드하면 스캐너가 시스템 권한으로 악성 스크립트를 실행합니다. Google 클라우드 +1
악성 스크립트는 추가 도구(예: Zoho UEMS 에이전트, AnyDesk)를 다운로드하고 역방향 SSH 터널을 설정합니다(종종 다음과 같이 이름이 바뀐 Plink 또는 PuTTY 바이너리를 사용함). sihosts.exe/silcon.exe) 포트 433을 통해 인바운드 RDP 액세스, 측면 이동, 권한 에스컬레이션, 도메인 관리자 그룹 멤버십을 사용할 수 있습니다. Google 클라우드

공격자는 합법적인 UI 흐름(설정 페이지)과 유효한 기능(안티바이러스 엔진)을 사용하기 때문에 '정상적인' 시스템 동작에 섞여 있기 때문에 탐지가 더욱 어려워집니다.

침해 지표(IOC) 및 위협 헌팅 기법

다음은 SOC 또는 레드팀에서 CVE-2025-12480의 잠재적인 오용 가능성을 식별하는 데 도움이 되는 실행 가능한 아티팩트와 탐지 방법입니다:

주요 IOC 유물

웹 로그 항목이 있는 위치 호스트: localhost 외부 IP에서 시작됩니다.
액세스 AdminDatabase.aspx, 관리자 계정.aspx, InitAccount.aspx 적절한 인증 없이
배치 또는 EXE 파일 C:\\Windows\\Temp\\ 와 같은 이름으로 centre_report.bat, sihosts.exe, silcon.exe. Google 클라우드
포트 433 또는 비정상적인 포트의 아웃바운드 SSH 연결, 특히 Plink 이름이 변경된 바이너리를 사용하는 경우.
초기 사고 후 예기치 않은 원격 액세스 도구가 설치됨(Zoho Assist, AnyDesk).

샘플 탐지 스니펫

시그마 규칙(웹 서버 로그):

yaml

제목: 의심스러운 트리폭스 설정 페이지 액세스 (CVE-2025-12480)

로그소스:

제품: 웹서버

탐지:

선택:

http_host_header: "localhost"

uri_path: "/AdminDatabase.aspx"

조건: 선택

수준: 높음

Splunk 쿼리(위협 추적):

pgsql

index=web_logs host="triofox.example.com"

| 검색 uri_경로="/AdminDatabase.aspx" 또는 uri_경로="/AdminAccount.aspx"

| 검색 http_host_header="localhost"

| 통계는 src_ip, user_agent, uri_path로 계산합니다.

| 여기서 카운트 > 3

PowerShell 코드 조각(엔드포인트 탐지):

파워쉘

# Windows Temp에서 이름이 변경된 Plink/퍼티 바이너리 감지

Get-ChildItem -경로 C:\\Windows\\Temp -필터 "*.exe" | Where-Object {

$_.Name -in @("sihosts.exe", "silcon.exe", "centre_report.exe")

} | Select-Object 전체 이름, 길이, 마지막 쓰기 시간

완화 및 심층 방어 전략

패치는 매우 중요하지만 성숙한 보안 팀에게는 여기서 끝이 아닙니다. 계층화된 방어 전략이 필요합니다.

패치 및 업데이트

모든 Triofox 인스턴스(화이트 라벨 변종 포함)가 다음과 같이 업데이트되었는지 확인합니다. 16.7.10368.56560 이상이어야 합니다. 빌드 버전을 확인하는 것은 패치를 적용하는 것만큼이나 중요합니다. wiz.io

보안 구성 및 액세스 제어

설정/관리 인터페이스에 대한 액세스를 제한하여 인터넷에 노출되지 않도록 하세요. 네트워크 세분화 또는 VPN 액세스만 사용하세요.
모든 관리자/기본 계정을 감사합니다. 예기치 않은 계정(예: 변경 제어 외부에서 만든 '클러스터 관리자')을 삭제하거나 비활성화합니다.
'안티바이러스 스캐너 경로' 설정을 검토하여 임의의 스크립트나 외부 다운로드가 아닌 모니터링되는 디렉터리 아래의 승인된 실행 파일만 가리키는지 확인하세요.
'공유 게시' 플로우를 비활성화하거나 엄격하게 관리하여 노출을 최소화하세요.

네트워크 및 프로세스 활동 모니터링

특히 비표준 포트(433, 2222 등)를 통한 아웃바운드 SSH/역방향 RDP 트래픽을 모니터링합니다.
EDR을 사용하여 의심스러운 도구의 명령줄 실행을 탐지합니다(plink.exe, anydesk.exe, zohoassist.exe).
다음 항목의 변경 사항을 모니터링합니다. C:\\Windows\\Temp, C:\\AppCompat또는 멀웨어 스테이징에 사용되는 기타 임시 디렉터리입니다.

모의 침투 테스트 및 자동화된 노출 검증

다음은 열려 있는 Triofox 관리 엔드포인트와 호스트 헤더 취약성을 확인하기 위한 간단한 Nmap 스캔 예제입니다:

bash

nmap -p 443 --script http-headers --script-args http.host=localhost target.example.com

서버가 다음과 같은 경우에 성공적으로 응답하는 경우 호스트=로컬호스트로 표시되면 바이패스가 여전히 존재할 수 있음을 나타냅니다.

마찬가지로 Python 스캔 스크립트를 생성하여 여러 호스트를 쿼리할 수 있습니다:

python

요청 가져오기, SSL, urllib3

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def check_triofox_vuln(url):

headers = {"호스트": "localhost"}

시도해 보세요:

r = requests.get(f"{url}/AdminDatabase.aspx", headers=headers, timeout=5, verify=False)

r.status_code == 200이고 r.text의 "1단계: 설정"이면:

print(f"[!] {url}이 취약한 것으로 보입니다!")

else:

print(f"[+] {url}이 패치되었거나 액세스할 수 없는 것으로 보입니다.")

예외는 e로 제외합니다:

print(f"{url}에 연결하는 동안 오류가 발생했습니다: {e}")

호스트의 경우 ['', '']:

check_triofox_vuln(호스트)

자동화된 문제 해결 및 위험 우선순위 지정

대규모 환경에서는 각 배포를 수동으로 추적하는 것은 비현실적입니다. 이때 자동화가 필요합니다.

자동화된 방어 및 Penligent.ai 통합

팀에서 다음 사항을 수용하고 있다면 자동화, 취약성 오케스트레이션 및 AI 기반 인사이트와 같은 플랫폼을 통합하여 Penligent.ai 는 자세를 크게 개선할 수 있습니다. Penligent.ai 는 파일 공유 및 원격 액세스 인프라를 지속적으로 매핑하고, CVE-2025-12480과 같은 익스플로잇 체인을 시뮬레이션하며, 다음과 같은 정보를 생성하도록 설계되었습니다. 위험 등급이 지정된 해결 티켓 IT/개발팀에 적합합니다.

예를 들어 Penligent.ai 할 수 있습니다:

모든 Triofox 인스턴스(관리되지 않는/레거시 포함)를 확인하세요.
실행 익스플로잇 시뮬레이션 (호스트 헤더 스푸핑, 관리자 액세스 확인)를 안전한 샌드박스에서 실행합니다.
할당 실시간 위험 점수 노출 및 활성 위협 인텔리전스(예: UNC6485 사용량)를 기반으로 합니다.
제공 실행 가능한 해결 지침즉각적인 패치 권장 사항(16.7.10368.56560 이상으로 업그레이드), 구성 강화 단계(설정 페이지 액세스 제한, 바이러스 백신 경로 검증), 의심스러운 관리 계정 제거 또는 감사 등입니다.

CVE-2025-12480의 맥락에서 이러한 자동화는 사후 대응("패치 적용 후 희망")에서 사전 대응("탐지, 시뮬레이션, 우선순위 지정, 수정")으로 방어를 전환합니다. 공격자가 취약점을 무기화하는 속도를 고려할 때 이러한 전환은 매우 중요합니다.

지금 펜테스팅 체험하기

교훈 및 전략적 시사점

CVE-2025-12480과 이 익스플로잇 캠페인을 통해 몇 가지 중요한 교훈을 얻을 수 있습니다:

인증 우회 결함은 여전히 가장 높은 위험 범주에 속하며, 성숙한 플랫폼도 다음과 같은 로직 취약성에 걸려 넘어질 수 있습니다. 호스트: localhost.
보호용 기능(예: 안티바이러스 엔진)은 잘못 구성하면 악용될 수 있으므로 방어 도구 자체를 강화해야 합니다.
익스플로잇이 너무 일찍(공개 후 며칠이 지나지 않아) 널리 퍼진다는 것은 패치 기간을 줄여야 한다는 것을 의미하며, 자동화와 지속적인 검증이 중요해집니다.
구성 변동, 레거시 배포 및 관리되지 않는 변형은 단순한 버전 확인 이상의 숨겨진 위험을 초래합니다.
노출 관리(에셋의 위치, 구성 방식, 액세스 권한을 가진 사람 파악)는 패치만큼이나 중요합니다.

자주 묻는 질문 - 빠른 참조

Q: CVE-2025-12480이란 무엇인가요? A: 인증되지 않은 공격자가 인증을 우회하여 원격 코드 실행을 달성할 수 있는 Triofox의 심각한 부적절한 액세스 제어 취약점입니다.

질문: 취약점이 활발하게 악용되고 있나요? A: 예. Mandiant/Google Cloud는 최소 2025년 8월 24일부터 위협 행위자 클러스터 UNC6485가 이를 악용한 것을 확인했습니다. Google 클라우드

Q: 어떤 제품/버전이 취약한가요? A: 16.7.10368.56560 이전 Triofox 버전(및 CentreStack과 같은 화이트 라벨 배포일 가능성이 높음)이 영향을 받습니다.

질문: 조직은 즉시 어떤 조치를 취해야 하나요? A: - 최신 버전으로 패치 - 모든 관리자 계정 감사 - 바이러스 백신 경로 구성 검증 - 비정상적인 SSH/RDP 터널 모니터링 - 지속적인 노출 관리를 위한 자동화 활용

결론

CVE-2025-12480은 신뢰의 논리 결함(호스트 헤더)이 기능 악용(안티바이러스 엔진)과 결합되어 어떻게 기업 파일 공유 플랫폼 내에서 전체 시스템 손상으로 이어질 수 있는지 보여줍니다. 보안 팀이 나아가야 할 길은 분명합니다. 빠르게 패치를 적용하되, 여기서 멈추지 말아야 합니다. 구성 위생 관행, 지속적인 모니터링, 자동화 플랫폼(예 Penligent.ai)를 취약성 관리 라이프사이클에 추가하세요. 이렇게 하면 위협에 대응하는 데 그치지 않고 위협보다 한발 앞서 대응할 수 있습니다.