Triofox

Pesquisadores de cibersegurança da Mandiant descobriram uma vulnerabilidade crítica de zero-day na plataforma de compartilhamento de arquivos Triofox, da Gladinet, identificada como CVE-2025-12480. Desde 24 de agosto de 2025, o grupo de ameaças UNC6485 tem explorado essa falha para contornar controles de autenticação e executar códigos maliciosos com acesso em nível de sistema. O ataque ocorre em duas etapas: inicialmente, os invasores manipulam os cabeçalhos HTTP para se apresentarem como ’localhost’, permitindo acesso não autorizado a páginas de configuração restritas. A vulnerabilidade reside na função CanRunCriticalPage(), que não valida corretamente a origem das requisições. Após obter acesso, os atacantes criam uma conta de administrador e exploram uma segunda fraqueza no antivírus embutido do Triofox, redirecionando o caminho do scanner para um script malicioso. Isso resulta na execução automática do payload malicioso com privilégios de conta SYSTEM. A Mandiant identificou a intrusão em apenas 16 minutos, alertando para a necessidade de atualização imediata para a versão 16.7.10368.56560 ou posterior. As equipes de segurança devem auditar contas de administrador e monitorar tráfego SSH incomum para detectar compromissos em andamento.

A Mandiant, divisão de defesa contra ameaças da Google, identificou a exploração de uma vulnerabilidade crítica no Triofox, plataforma de compartilhamento de arquivos e acesso remoto da Gladinet. A falha, classificada como CVE-2025-12480 e com uma pontuação CVSS de 9.1, permite que atacantes contornem a autenticação e acessem páginas de configuração, possibilitando o upload e execução de códigos maliciosos. A exploração dessa vulnerabilidade foi observada desde 24 de agosto de 2025, quase um mês após a liberação de patches pela Gladinet. Este é o terceiro incidente de exploração ativa em Triofox neste ano, após outras duas falhas críticas. Os atacantes criaram uma nova conta de administrador nativa, utilizando-a para executar scripts maliciosos que baixavam e instalavam programas de acesso remoto, como Zoho Assist e AnyDesk. Para evitar detecções, foram utilizados túneis criptografados para comunicação com servidores de comando e controle. A Mandiant recomenda que os usuários do Triofox atualizem para a versão mais recente e auditem suas contas administrativas.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-11371, foi descoberta no software Gladinet CentreStack e Triofox, permitindo a execução remota de código (RCE) por atacantes. Apesar de a versão mais recente do software, posterior à 16.4.10315.56368, ser considerada segura contra a vulnerabilidade CVE-2025-30406, a exploração de uma falha de Inclusão de Arquivo Local (LFI) está em andamento. Os atacantes conseguiram extrair uma chave de máquina do arquivo Web.config da aplicação, o que possibilitou a execução de código malicioso com privilégios de sistema. A Huntress, responsável pela detecção, alertou que a exploração ocorre rapidamente, com a transição de acesso não autorizado para a execução de código em questão de minutos. Embora a Gladinet tenha sido informada sobre a vulnerabilidade, ainda não há um patch oficial para a CVE-2025-11371. A Huntress recomenda que as organizações desativem o manipulador temporário no arquivo Web.config como uma medida imediata de mitigação, a fim de evitar a exploração. A situação é crítica, pois três casos de comprometimento real já foram documentados, e a falta de um patch oficial aumenta o risco para as empresas que utilizam essas soluções.

A empresa de cibersegurança Huntress identificou a exploração ativa de uma vulnerabilidade zero-day nos produtos Gladinet CentreStack e TrioFox. A falha, classificada como CVE-2025-11371, possui um CVSS de 6.1 e permite a inclusão local de arquivos não autenticados, resultando na divulgação não intencional de arquivos do sistema. Todas as versões do software anteriores e incluindo a 16.7.10368.56560 estão afetadas. A Huntress detectou a atividade pela primeira vez em 27 de setembro de 2025, com três clientes impactados até o momento. Essa vulnerabilidade se conecta a uma falha anterior, CVE-2025-30406, que permitia a execução remota de código. A recomendação imediata para os usuários é desabilitar o manipulador “temp” no arquivo Web.config, embora isso possa afetar algumas funcionalidades da plataforma. A Huntress está retendo detalhes adicionais da falha devido à exploração ativa e à falta de um patch disponível.