Siber Güvenlik, Tehdit İstihbaratı, Zafiyet Analizi

Triofox Güvenlik Açığı Üzerinden Antivirüs Mekanizması Kötüye Kullanılarak Uzaktan Erişim Araçları Yükleniyor

Kasım 11, 2025Kasım 11, 2025Tarafından Cybernews.TR
35
Triofox Güvenlik Açığı Üzerinden Antivirüs Mekanizması Kötüye Kullanılarak Uzaktan Erişim Araçları Yükleniyor

Gladinet’in dosya paylaşım ve uzaktan erişim platformu Triofox’ta, kritik bir güvenlik açığı (CVE-2025-12480) üzerinden gerçekleştirilen n-day saldırılar tespit edildi. CVSS skoru 9.1 olan bu zafiyet, saldırganların kimlik doğrulamasını atlayarak yapılandırma sayfalarına erişmesine ve rastgele kod çalıştırmasına olanak sağlıyor. Bu durum, platformun 16.7.10368.56560 sürümünde yamalanmasına rağmen, UNC6485 adlı tehdit aktörünün açığı yaklaşık bir ay sonra aktif şekilde kullandığını gösteriyor.

Açığın Teknik Detayları ve İstismar Yöntemi

CVE-2025-12480, Triofox’taki üçüncü aktif olarak istismar edilen güvenlik açığıdır. Daha önce CVE-2025-30406 ve CVE-2025-11371 numaralı açıklardan da faydalanılmıştı. Gladinet’in sürüm notlarında, ilk yapılandırma sayfalarına ek koruma getirildiği ve kurulum sonrası erişimin engellendiği belirtilse de, Mandiant araştırmacıları saldırganların kimlik doğrulamasız erişimle yapılandırma sayfalarına ulaştığını ve yeni bir yerel yönetici hesabı (Cluster Admin) oluşturduğunu raporladı. Bu hesap, sonraki kötü amaçlı faaliyetlerde kullanıldı.

Antivirüs Özelliği Üzerinden Kötü Amaçlı Kod Yükleme

Triofox’un antivirüs modülü, kullanıcıların tarayıcı konumu olarak rastgele bir yol belirlemesine izin veriyor. Bu dosya, ana işlem hesabının ayrıcalıklarını devralarak SYSTEM yetkileriyle çalışıyor. Saldırganlar, antivirüs motorunun yolunu “centre_report.bat” adlı kötü amaçlı toplu iş betiğine yönlendirerek bu betiği SYSTEM bağlamında çalıştırdı. Betik, 84.200.80[.]252 IP adresinden Zoho Unified Endpoint Management System (UEMS) yükleyicisini indiriyor ve Zoho Assist ile AnyDesk gibi popüler uzaktan erişim araçlarını kuruyor.

Uzaktan Erişim ve İleri Düzey Hareketlilik

Zoho Assist tarafından sağlanan uzaktan erişim, keşif ve lateral hareket için kullanıldıktan sonra, saldırganlar mevcut kullanıcı hesaplarının şifrelerini değiştirip bu hesapları yerel yönetici ve “Domain Admins” gruplarına eklemeye çalıştı. Ayrıca, tespit edilmekten kaçınmak için Plink ve PuTTY gibi SSH istemcilerini indirerek, konteynerlerde rastgele seçilen 433 numaralı port üzerinden şifreli tüneller kurdular. Bu tüneller, gelen RDP trafiğini şifreleyerek gizli iletişim sağladı. Bu teknik, MCP istemcileri ve AsyncRAT gibi gelişmiş uzaktan erişim araçlarının kullandığı yöntemlere benzerlik gösteriyor.

Ek Teknik Analiz ve Öneriler

Bu saldırı zincirinde, Pydantic AI tabanlı davranış analiz araçlarının kullanılması, anormal antivirüs yolu değişikliklerinin erken tespiti için kritik öneme sahip olabilir. Ayrıca, konteyner tabanlı dağıtımlarda rastgele SSH portlarının seçilmesi, saldırganların tespitini zorlaştırıyor. Bu nedenle, Triofox kullanıcılarının en güncel sürüme yükseltme yapmaları, yönetici hesaplarını detaylı şekilde denetlemeleri ve antivirüs motorunun yetkisiz betik ya da ikili dosya çalıştırmadığını doğrulamaları önem taşıyor.

Sonuç olarak, Triofox platformundaki bu güvenlik açığı, antivirüs mekanizmasının kötüye kullanılmasıyla birleştiğinde saldırganlara yüksek ayrıcalıklı erişim sağlıyor. Bu durum, kurumsal ağlarda ciddi güvenlik riskleri oluşturuyor ve kapsamlı izleme, hızlı müdahale ile engellenmelidir.

, , , , , , ,