Abuso de 0-Day do Triofox Permite Execução Remota de Códigos Maliciosos

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Pesquisadores de cibersegurança da Mandiant descobriram uma vulnerabilidade crítica de zero-day na plataforma de compartilhamento de arquivos Triofox, da Gladinet, identificada como CVE-2025-12480. Desde 24 de agosto de 2025, o grupo de ameaças UNC6485 tem explorado essa falha para contornar controles de autenticação e executar códigos maliciosos com acesso em nível de sistema. O ataque ocorre em duas etapas: inicialmente, os invasores manipulam os cabeçalhos HTTP para se apresentarem como ’localhost’, permitindo acesso não autorizado a páginas de configuração restritas. A vulnerabilidade reside na função CanRunCriticalPage(), que não valida corretamente a origem das requisições. Após obter acesso, os atacantes criam uma conta de administrador e exploram uma segunda fraqueza no antivírus embutido do Triofox, redirecionando o caminho do scanner para um script malicioso. Isso resulta na execução automática do payload malicioso com privilégios de conta SYSTEM. A Mandiant identificou a intrusão em apenas 16 minutos, alertando para a necessidade de atualização imediata para a versão 16.7.10368.56560 ou posterior. As equipes de segurança devem auditar contas de administrador e monitorar tráfego SSH incomum para detectar compromissos em andamento.

Fonte: https://cyberpress.org/triofox-0-day-abuse-of-anti-virus/

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
11/11/2025 • Risco: CRITICO
VULNERABILIDADE

Abuso de 0-Day do Triofox Permite Execução Remota de Códigos Maliciosos

RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-12480 no Triofox permite que atacantes contornem autenticação e executem códigos maliciosos com privilégios elevados. A exploração ativa desde agosto de 2025 requer atenção imediata das equipes de segurança para evitar compromissos graves.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a interrupções e compromissos de dados.
Operacional
Execução de códigos maliciosos com privilégios de sistema.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Educação']

📊 INDICADORES CHAVE

CVSS Score: 9.8 Indicador
Identificação da intrusão em 16 minutos Contexto BR
Criação de conta de administrador não autorizada Urgência

⚡ AÇÕES IMEDIATAS

1 Atualizar para a versão 16.7.10368.56560 ou posterior.
2 Auditar todas as contas de administrador para entradas não autorizadas.
3 Monitorar tráfego SSH incomum e atividades suspeitas em diretórios temporários.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a exploração ativa de uma vulnerabilidade crítica que pode comprometer a segurança de dados e sistemas. A falha permite acesso não autorizado e execução de códigos maliciosos, o que pode levar a perdas financeiras e de reputação.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD, especialmente em relação ao acesso não autorizado a dados pessoais.
Status
patch_disponivel
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).