کمیته رکن چهارم – پژوهشگران امنیتی از سوءاستفاده فعال از آسیبپذیری CVE-2025-12480 در پلتفرم Triofox خبر دادهاند؛ نقصی که امکان دورزدن احراز هویت و دسترسی مستقیم به صفحات پیکربندی را فراهم میکند و مهاجم میتواند فایل دلخواه را روی سرور بارگذاری و اجرا کند. این آسیبپذیری با امتیاز ۹٫۱ در CVSS از ۲۴ August 2025 مورد بهرهبرداری قرار گرفته است.
به گزارش کمیته رکن چهارم، مهاجم با دسترسی به مراحل راهاندازی Triofox توانسته یک حساب ادمین جدید ایجاد کرده و از طریق قابلیت تنظیم آنتیویروس، مسیر موتور اسکن را به یک اسکریپت مخرب تغییر دهد. این اسکریپت ابزارهای دسترسی از راه دور Zoho Assist و AnyDesk را دانلود و نصب کرده و امکان ورود مهاجم به سیستم را فراهم کرده است.
پس از ایجاد دسترسی، مهاجم اقدام به جمعآوری اطلاعات، تغییر گذرواژه حسابها و افزودن آنها به گروههای مدیریتی کرده و با ابزارهایی مانند Plink و PuTTY یک تونل رمزنگاریشده SSH برای انتقال ترافیک RDP ایجاد کرده است.
این حمله نشان میدهد حتی قابلیتهای داخلی مانند تنظیمات آنتیویروس در صورت ضعف پیکربندی میتوانند مسیر اجرای کد مخرب باشند. کاربران Triofox باید فوراً نرمافزار خود را بهروزرسانی کرده، حسابهای ادمین را بررسی و تنظیمات موتور آنتیویروس را برای جلوگیری از اجرای فایلهای غیرمجاز کنترل کنند.
