🛡 概要
Gladinet Triofoxの認証回避(CVE-2025-12480)と組み込みアンチウイルス設定の悪用により、攻撃者が管理者ワークフローを乗っ取り、SYSTEM権限でリモートコード実行(RCE)に到達した事案が確認されています。Google Threat Intelligence Group(GTIG)は2024年8月24日に、UNC6485クラスターがTriofox 16.4.10317.56372(4月3日公開)を標的にした活動を観測。Mandiantの解析では、セットアップ用ページ(AdminDatabase.aspx)への不正アクセスから新規管理者アカウント作成、AVスキャナの実行パスを任意スクリプトへ指す設定変更を経由して、SYSTEMコンテキストの任意コード実行に至っています。ベンダは16.7.10368.56560(7月26日)でCVE-2025-12480を修正し、最新の16.10.10408.56683(10月14日)適用が推奨です。加えて、直近ではLFI(CVE-2025-11371)も報告・修正済みです。
🔍 技術詳細
CVE-2025-12480の根本原因はアクセス制御のロジック欠陥で、リクエストのURLホストが「localhost」と一致する場合に管理アクセスを許可してしまう点にあります。外部からでもHTTPのヘッダ操作でこの条件を満たせるため、認証を迂回可能となります。一般論としてHostヘッダのインジェクションで偽装可能であり、Mandiantが観測した事例ではHTTP Refererのホスト部に「localhost」を含めたGETリクエストで起点を作られていました。特にweb.configでTrustedHostIpパラメータが未設定の場合、この「localhost」チェックが唯一の関所となり、デフォルト構成が無認証アクセスに晒されます。
攻撃チェーンは以下の通りです。1) 認証回避後、初期セットアップで用いるAdminDatabase.aspxへアクセス。2) セットアップフローを悪用し「Cluster Admin」という新規管理者アカウントを作成。3) 悪性スクリプトをアップロードし、Triofoxのアンチウイルス・スキャナ実行パスにそのファイルを指定。4) AVスキャナとして設定されたファイルは親プロセスの権限を継承し、TriofoxがSYSTEMで稼働する環境ではSYSTEM権限で実行。5) バッチ経由でPowerShellダウンローダを実行し、外部からZoho UEMSインストーラを取得。6) Zoho UEMSによりZoho AssistとAnyDeskを展開し、持続的なリモートアクセスと横展開に使用。7) plink/ PuTTYでSSHトンネルを形成し、RDP(3389)へのポートフォワーディングを実施。
この手口はアプリケーション初期設定の信頼境界と、外部コマンド実行に関わる機能設定(AVスキャナパス)という二つの権限境界の破綻を連鎖させ、最終的にSYSTEMでのコード実行に至る点が特徴です。CVE-2025-12480は16.7.10368.56560で修正済みで、最新16.10.10408.56683の適用が推奨されます。また、LFIのCVE-2025-11371は無認証でのローカルファイル参照が可能となる欠陥で、こちらも16.10.10408.56683で修正されています。CVSSスコアについては、現時点で公式に確認可能な公開値は見当たりません(入手次第、組織内アセスメントへ反映してください)。
⚠ 影響
・認証回避からアプリ管理権限奪取、任意スクリプト実行設定の変更により、SYSTEM権限のRCEが可能。・Zoho Assist/AnyDesk等のRMM導入により、目立たない持続的遠隔操作が成立。・SSHトンネルやRDP経由で横展開、機密情報へのアクセス、認証情報窃取の足掛かりとなる。・デフォルト構成(TrustedHostIp未設定)のまま外部公開されているTriofoxは特に高リスク。
🛠 対策
- パッチ適用:最低でも16.7.10368.56560、可能であれば16.10.10408.56683へ更新。
- 設定強化:web.configでTrustedHostIpを必ず明示設定。管理セットアップページへの外部到達をWAF/リバプロで遮断し、Host/Refererに「localhost」を含む外部リクエストを拒否。
- 権限最小化:Triofoxサービスの実行アカウントをSYSTEMから分離し、必要最小権限のサービスアカウントへ。アンチウイルス・スキャナ実行パスは正規バイナリのみ許可(フルパス固定、ハッシュ/署名検証)。
- 実行制御:WDAC/ApplockerでAnyDesk、Zoho Assist、plink/putty等のRMM/トンネルツールをデフォルト拒否し、許可リスト方式へ。
- ネットワーク制御:アウトバウンドを最小化し、RMM/トンネルの既知FQDN/IPをブロック。RDPは内部限定、VPN+MFA経由での管理に統一。
- アカウント監査:アプリ内の管理者アカウント追加・権限変更の監査ログを定期確認。「Cluster Admin」等の不審アカウントを即時無効化。
📌 SOC視点
- Web/IISログ:cs-hostやcs(Referer)に「localhost」を含む外部ソースのリクエスト、AdminDatabase.aspxへのアクセス、異常な設定変更POST。
- アプリ監査ログ:新規管理者作成、AVスキャナパスの変更イベント。
- EDRテレメトリ:Triofox子プロセスとしてのcmd.exe/powershell.exe起動、PowerShellのWebダウンロード(Invoke-WebRequest、BitsTransfer、EncodedCommand)。
- 新規サービス/タスク:Zoho UEMS/Assist/AnyDeskのインストール(Windowsイベント7045、サービス名/パス)、スケジュールタスクの生成。
- ファイル痕跡:%ProgramData%や%AppData%配下のAnyDesk/Zoho/putty/plink配置、Prefetch生成。
- ネットワーク:外向きのSSHトンネル(22/tcp)とRDP転送の組み合わせ、AnyDesk/Zoho関連FQDNへの通信、3389/tcpの内向きアクセス増加。
- 認証:RDPの4624タイプ10増加、異常時間帯/国からのログイン。
📈 MITRE ATT&CK
・TA0001 初期侵入 / T1190 公開アプリ脆弱性の悪用:CVE-2025-12480により認証回避し管理ページへ到達。
・TA0003 永続化 / T1136.001 アカウント作成(ローカル):アプリ内「Cluster Admin」を作成。
・TA0002 実行 / T1059.001 PowerShell:ダウンローダで追加ペイロード取得。
・TA0003 永続化・TA0005 防御回避 / T1219 リモートアクセスソフト:Zoho Assist/AnyDeskを導入して常駐化。
・TA0011 C2 / T1105 Ingress Tool Transfer:外部からZoho UEMS等を取得。
・TA0008 偵察・横展開 / T1021 リモートサービス(RDP):RDPでの横移動。
・TA0010 逸脱・難読 / T1572 プロトコル・トンネリング:plink/SSHでRDPをフォワーディング。
・TA0004 権限昇格 / T1068 権限昇格のための脆弱性悪用:AV実行パス悪用でSYSTEM権限のコード実行(親プロセス権限継承)。
🏢 組織規模別助言
小規模(〜50名): クラウドWAF付きリバースプロキシでTriofoxを終端し、最新版へ即時更新。RMMツールの使用を全面禁止し、EDRの基本検知ルール(PowerShell/新規サービス作成)を有効化。外注MSPがRMMを使う場合は許可リストと時限許可で管理。
中規模(50〜500名): WDAC/Applockerで実行制御、SIEMにIIS/アプリ監査ログを集約し、AdminDatabase.aspxアクセスと設定変更の相関検知ルールを作成。ネットワークは送信先制限とDNS監視を導入し、AnyDesk/Zoho/SSHトンネルのアウトバウンドをブロック。災害対策として金曜日前の変更凍結と緊急パッチ手順を標準化。
大規模(500名以上): ゼロトラスト・リバプロ(mTLS/DMZ)で管理プレーン分離、脆弱性管理(SLAベース:クリティカルは72時間以内)を運用。攻撃面管理(ASM)で外部に露出するTriofoxエンドポイントとバージョンを常時検知。検知工学(DE.AE系)によりHost/Referer異常やRMM導入のテレメトリをルール化し、SOARで隔離・ロールバックを自動化。
🔎 類似事例
- CVE-2025-11371(CentreStack/TriofoxのLFI):無認証でのファイル参照に悪用。16.10.10408.56683で修正。
- RMMソフト(AnyDesk/Zoho Assist)を用いた持続化:正規ツール悪用による防御回避の典型。
- plink/SSHトンネルでRDPを中継:プロトコル・トンネリングによる内部資産への不可視アクセス。
🧭 次の一手
まず、対象全サーバのバージョン棚卸しと、16.10.10408.56683への計画外アップデートを即日実施。web.configにTrustedHostIpを設定し、WAFでHost/Refererに「localhost」を含む外部リクエストを拒否。アプリ管理者アカウントの棚卸しと不要アカウント削除、AVスキャナ実行パスの検証を行ってください。SOCはIIS/アプリ/EDRログからの相関検索(AdminDatabase.aspx、PowerShell、RMM導入、新規サービス)を48時間遡及で実施し、ヒット時はネットワーク隔離とメモリ・ディスクフォレンジックを開始。詳細IoCはGTIG/Mandiant公開情報やVirusTotalを参照し、ブロックリストへ即反映してください。
