CVE-2025-12480: Lỗ Hổng Bỏ Qua Xác Thực Hóa Truy Cập Trong Triofox
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, việc theo dõi và ứng phó kịp thời với các lỗ hổng zero-day là yếu tố then chốt để bảo vệ hệ thống doanh nghiệp. CVE-2025-12480, một lỗ hổng nghiêm trọng trong sản phẩm Triofox của Gladinet, đã được khai thác thực tế bởi các nhóm hacker chuyên nghiệp. Với điểm CVSS lên đến 9.1, lỗ hổng này cho phép kẻ tấn công bỏ qua xác thực, tạo tài khoản admin và triển khai công cụ truy cập từ xa mà không cần quyền hạn ban đầu. Bài viết này sẽ phân tích chi tiết lỗ hổng, tác động tiềm ẩn, cách phát hiện và các biện pháp khắc phục, giúp các chuyên gia ATTT dễ dàng áp dụng trong môi trường thực tế.
Tổng Quan
CVE-2025-12480 được Google Mandiant công bố vào ngày 10/11/2025, nhưng các dấu hiệu khai thác đầu tiên đã xuất hiện từ ngày 24/8/2025. Lỗ hổng này nằm trong nền tảng chia sẻ file và truy cập từ xa Triofox của Gladinet – một công cụ phổ biến giúp doanh nghiệp quản lý dữ liệu đám mây một cách an toàn. Theo phân tích của Mandiant, nhóm hacker UNC6485 (một actor được biết đến với các chiến dịch tấn công tinh vi) đã tận dụng lỗ hổng này để xâm nhập hệ thống, tạo tài khoản quản trị và triển khai phần mềm truy cập từ xa như Zoho Assist và AnyDesk.
Lỗ hổng này không phải là trường hợp đầu tiên của Gladinet. Trước đó, các CVE liên quan như CVE-2025-30406 (thực thi mã từ xa qua quản lý khóa mã hóa yếu) và CVE-2025-11371 (lấy khóa máy để giả mạo ViewState dẫn đến giải mã hóa không an toàn phía server) đã cảnh báo về rủi ro trong sản phẩm của hãng. Việc khai thác CVE-2025-12480 đánh dấu một bước tiến trong chuỗi tấn công, nơi kẻ xấu có thể kiểm soát toàn bộ hệ thống mà không cần tương tác vật lý.
Mô Tả Kỹ Thuật Của Lỗ Hổng
Về bản chất, CVE-2025-12480 là lỗ hổng bỏ qua kiểm soát truy cập không xác thực (unauthenticated access control bypass). Kẻ tấn công có thể thao túng tiêu đề HTTP Host bằng cách đặt giá trị là "localhost", khai thác hàm CanRunCriticalPage() trong Triofox. Hàm này tin tưởng hoàn toàn vào tiêu đề Host mà không xác minh nguồn gốc yêu cầu thực sự, dẫn đến việc cấp quyền truy cập vào các trang hạn chế và che giấu địa chỉ IP nguồn của kẻ tấn công.
Quy trình khai thác diễn ra theo các bước sau:
Bỏ qua xác thực: Gửi yêu cầu HTTP với Host header giả mạo để truy cập các trang quản trị mà không cần đăng nhập.
Tạo tài khoản admin: Sử dụng quy trình thiết lập hệ thống để tạo tài khoản "Cluster Admin" bản địa.
Khai thác tính năng antivirus: Tính năng này cho phép chỉ định đường dẫn tùy ý cho quá trình quét virus, chạy dưới quyền SYSTEM (quyền cao nhất trên Windows). Kẻ tấn công có thể thực thi script tùy ý, ví dụ file batch centre_report.bat tải trình cài đặt Zoho Unified Endpoint Management System (UEMS) từ máy chủ C2 (84.200.80[.]252).
Triển khai truy cập từ xa: Cài đặt Zoho Assist và AnyDesk để kiểm soát từ xa. Để tránh phát hiện, kẻ xấu sử dụng Plink và PuTTY tạo đường hầm SSH mã hóa qua cổng 433, cho phép lưu lượng RDP inbound mà không bị chặn bởi tường lửa.
Lỗ hổng ảnh hưởng cụ thể đến phiên bản Triofox v16.4.10317.56372 và đã được vá trong v16.7.10368.56560.
Kịch Bản Khai Thác
Với quyền SYSTEM, kẻ tấn công có thể:
Triển khai malware quy mô lớn.
Ăn cắp dữ liệu nhạy cảm từ hệ thống chia sẻ file.
Thiết lập truy cập liên tục qua RDP, dẫn đến các cuộc tấn công tiếp theo như ransomware hoặc đánh cắp thông tin.
Trong thực tế, UNC6485 đã sử dụng lỗ hổng này cho giai đoạn initial access theo khung MITRE ATT&CK (T1190: Exploit Public-Facing Application). Tác động có thể lan rộng đến toàn bộ mạng nội bộ nếu Triofox được tích hợp với các dịch vụ đám mây như AWS hoặc Azure, gây thiệt hại tài chính và uy tín nghiêm trọng cho doanh nghiệp.
Biện Pháp Khắc Phục Và Giảm Thiểu Rủi Ro
Để bảo vệ hệ thống ngay phía FPT Threat Intelligence khuyến nghị một số biện pháp cấp thiết như sau:
Cập Nhật Phần Mềm: Nâng cấp Triofox lên phiên bản v16.7.10368.56560 hoặc cao hơn. Kiểm tra lịch sử phát hành tại trang chính thức của Triofox.
Kiểm Tra Tài Khoản: Audit tất cả tài khoản admin, đặc biệt xóa hoặc vô hiệu hóa "Cluster Admin" nếu không cần thiết.
Cấu Hình Antivirus: Đảm bảo không cho phép đường dẫn tùy ý; giới hạn chỉ chạy từ thư mục được phê duyệt.
Giám Sát Liên Tục: Triển khai WAF (Web Application Firewall) để chặn Host header giả mạo và theo dõi lưu lượng bất thường. Phát hiện kết nối outbound SSH qua cổng 433 đến các IP lạ (sử dụng công cụ như Zeek hoặc Suricata).
Backup Và Phục Hồi: Thực hiện backup định kỳ và kiểm tra khả năng phục hồi sau tấn công.
Doanh nghiệp nên ưu tiên vá lỗ hổng công khai và tích hợp Threat Intelligence để theo dõi các actor như UNC6485.
IOCs
File
| Artifact | Description | SHA-256 Hash |
| C:\Windows\appcompat\SAgentInstaller_16.7.10368.56560.exe | Installer containing Zoho UEMS Agent | 43c455274d41e58132be7f66139566a941190ceba46082eb2ad7a6a261bfd63f |
| C:\Windows\temp\sihosts.exe | Plink | 50479953865b30775056441b10fdcb984126ba4f98af4f64756902a807b453e7 |
| C:\Windows\temp\silcon.exe | PuTTy | 16cbe40fb24ce2d422afddb5a90a5801ced32ef52c22c2fc77b25a90837f28ad |
| C:\Windows\temp\file.exe | AnyDesk | ac7f226bdf1c6750afa6a03da2b483eee2ef02cd9c2d6af71ea7c6a9a4eace2f |
| C:\triofox\centre_report.bat | Attacker batch script filename | N/A |
IP
| IP Address | ASN | Description |
85.239.63[.]37 | AS62240 - Clouvider Limited | IP address of the attacker used to initially exploit CVE-2025-12480 to create the admin account and gain access to the Triofox instance |
65.109.204[.]197 | AS24950 - Hetzner Online GmbH | After a dormant period, the threat actor used this IP address to login back into the Triofox instance and carry out subsequent activities |
84.200.80[.]252 | AS214036 - Ultahost, Inc. | IP address hosting the installer for the Zoho UEMSAgent remote access tool |
216.107.136[.]46 | AS396356 - LATITUDE-SH | Plink C2 |
