- CVE-2025-12480 in Triofox maakt een zero-day exploit mogelijk via onjuiste toegangscontrole
- De UNC6485-aanvaller implementeerde Zoho Assist-, AnyDesk- en SSH-tunnels voor externe toegang
- Patch uitgebracht op 26 juli; op 14 oktober kwam een nieuwere versie van Triofox beschikbaar voor mitigatie
Het populaire platform voor het op afstand delen en samenwerken van bestanden, Triofox, bevat een kritieke kwetsbaarheid die werd uitgebuit als een zero-day die werd gebruikt om tools voor externe toegang in te zetten die aanvallers laterale bewegingsmogelijkheden bieden.
Beveiligingsonderzoekers van Google’s Mandiant en zijn Threat Intelligence Group (GTIG) hebben aangegeven dat Triofox wordt geleverd met een ingebouwde antivirusfunctie, die een ‘onjuiste toegangscontrole’-fout bevat die toegang tot de initiële opstartpagina mogelijk maakt, zelfs nadat de installatie is voltooid.
De fout, bijgehouden als CVE-2025-12480 en kreeg een ernstscore van 9,1/10 (kritiek), deed zich waarschijnlijk begin april 2025 voor en werd eind juli verholpen. De aanval werd echter bijna een maand later ontdekt, wat erop wijst dat de slachtofferorganisatie niet tijdig reparaties heeft uitgevoerd.
Wie is UNC6485?
Onderzoekers identificeerden de aanvallers als UNC6485, een voorheen niet-gerapporteerde aanvalsgroep.
Omdat het Threat Intelligence Team van Google echter bekend staat om het opsporen van door staten gesponsorde dreigingsactoren, kan worden aangenomen dat deze groep mogelijk banden heeft met staten en dat het doel van deze campagne gegevensdiefstal of cyberspionage en het verzamelen van inlichtingen is.
Bij de aanval gebruikten bedreigingsactoren tegen niet bij naam genoemde slachtoffers kwaadaardige code om Zoho UEMS in te zetten, waarmee ze Zoho Assist en AnyDesk installeerden – twee legitieme tools die hen toegang op afstand en laterale bewegingsmogelijkheden gaven.
Ze implementeerden ook de Plink- en PUTTY-tools om SSH-tunnels te creëren en verkeer op afstand door te sturen.
Het beveiligingslek werd op 26 juli opgelost met Triofox-versie 16.7.10368.56560, en gebruikers werd geadviseerd de patch zo snel mogelijk toe te passen. Bovendien heeft Gladinet (het bedrijf achter Triofox) op 14 oktober een nieuwere versie uitgebracht, 16.10.10408.56683, die, indien mogelijk, beter zou kunnen worden geïnstalleerd.
Door BleepingComputer
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om nieuws, recensies en onze deskundige meningen in uw feed te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons Wat is het Ook.
