Descoberta e escopo
A vulnerabilidade afeta Triofox em versões 16.4.10317.56372 e anteriores, resultando de validação incorreta de controle de acesso e possibilitando host header injection. A exploração permite acesso a uma página de configuração sensível (AdminDatabase.aspx) que deveria aparecer apenas durante o setup. O vetor observado altera o cabeçalho Host para “localhost”, evitando checagens de origem quando a função CanRunCriticalPage() falha na validação.
Abordagem técnica e cadeia de exploração
Com acesso à página administrativa, invasores criam contas administrativas e escalam privilégios dentro da aplicação. A cadeia se torna crítica quando combinada com uma má configuração do recurso de anti‑vírus integrado do Triofox: o agente de anti‑vírus pode ser apontado para um caminho executável arbitrário, que é executado sob a conta SYSTEM em sistemas Windows.
Nos casos documentados, atacantes carregaram scripts .bat maliciosos em shares publicados e definiram esses scripts como o motor do anti‑vírus; quando arquivos eram adicionados ao share, o script era executado automaticamente com privilégios SYSTEM, resultando em comprometimento total da máquina.
Atividades pós‑exploração observadas
Relatos técnicos descrevem implantação de agentes Zoho Unified Endpoint Management e AnyDesk para controle remoto. Ferramentas como Plink foram renomeadas para estabelecer túneis SSH reversos criptografados para servidores de comando e controle, permitindo forwarding de RDP sobre esses canais e mantendo acesso persistente enquanto se tenta evitar detecção baseada em rede.
Contenção e correção
Mandiant conseguiu conter o ambiente afetado em 16 minutos após a detecção, utilizando capacidades de detecção compostas da Google Security Operations para identificar implantações anômalas de ferramentas de acesso remoto e estágios suspeitos de arquivos.
Gladinet liberou correção na versão 16.7.10368.56560. Mandiant recomenda atualização imediata para essa versão em todos os deployments afetados, auditoria completa de contas administrativas e verificação de que mecanismos anti‑vírus executem apenas binários autorizados.
Mitigações operacionais
- Atualizar Triofox para 16.7.10368.56560 ou versão superior onde disponível;
- Auditar contas administrativas e chaves de acesso na aplicação;
- Verificar configurações do recurso de anti‑vírus integrado, bloqueando paths arbitrários e validando hashes de executáveis;
- Monitorar tráfego de saída por padrões de túneis SSH/SOCKS e conexões anômalas de RDP encaminhadas por canais encriptados.
Limites das informações
O relatório afirma exploração ativa desde agosto de 2025 pelo cluster UNC6485 e descreve controles e artefatos observados, mas não fornece contagem pública de vítimas nem indicadores IOC completos no resumo da matéria. As recomendações são baseadas nas ações de contenção e no patch liberado pelo fornecedor.
Conclusão — impacto imediato
A combinação de uma falha de bypass de autenticação via host header e a capacidade de configurar o motor de anti‑vírus para executar binários arbitrários cria uma superfície de ataque de alta severidade: execução automática de código com privilégios SYSTEM foi documentada nos incidentes analisados. Organizações que usam Triofox devem priorizar atualização e auditoria do ambiente.