Antivirusfunctionaliteit in Gladinet Triofox uitgebuit voor installeren van malware

In dit artikel:

Mandiant Threat Defense waarschuwt voor een actief misbruikt kritisch lek (CVE-2025-12480) in Gladinet’s Triofox-platform voor bestandsdeling en externe toegang. De kwetsbaarheid maakt het mogelijk authenticatie te omzeilen en de configuratiepagina’s van Triofox te benaderen, waarna een aanvaller een nieuw beheerdersaccount kan aanmaken en kwaadwillende bestanden kan uploaden en uitvoeren. Gladinet heeft het gat inmiddels dichtgezet.

Volgens Mandiant wordt het lek sinds minstens 24 augustus actief misbruikt door een dreigingsactor die als UNC6485 is aangeduid. De fabrikant had de correctie al een maand eerder uitgebracht in Triofox-versie 16.7.10368.56560; de aanvallen richten zich daardoor vooral op niet-gepatchte implementaties. In de door Mandiant beschreven keten gebruikt de aanvaller een installatiewizard voor antivirussoftware om een pad naar een kwaadaardig bestand als antivirus-engine op te geven, waardoor dat bestand uitgevoerd wordt.

Het motief van de aanvallen is nog onduidelijk. Mandiant raadt beheerders dringend aan meteen te updaten naar de gepatchte versie en – waar mogelijk – managementinterfaces niet direct aan het internet bloot te stellen. Aanvullende mitigaties zijn het monitoren op nieuw aangemaakte admin-accounts, het doorzoeken van logs op verdachte uploads en het controleren van endpoints op ongewenste uitvoerbare bestanden.