اختراق ملايين البشر عبر ميزة شرعية Triofox

 عندما تحوّل Triofox مضاد الفيروسات إلى بوابة سرّية للسيطرة على العالم

في هجوم يُعتبر من أخطر الهجمات على منصات مشاركة الملفات والوصول عن بُعد، قام مهاجمون باستغلال ثغرة حرجة في منصة Triofox – إحدى منتجات شركة Gladinet الشهيرة – لتحويل ميزة مضاد الفيروسات المدمجة داخل النظام إلى أداة تشغيل برمجيات خبيثة بصلاحيات SYSTEM مما منحهم سيطرة كاملة على الخادم وجميع بياناته

هذا النوع من الهجمات لا يحدث كل يوم

هذا النوع يحدث عندما يجتمع خلل برمجي قاتل + ذكاء إجرامي عالي + منصة حساسة تستخدمها الشركات

ما هي منصة Triofox؟

Triofox هي منصة مصممة للشركات لتقديم:

مشاركة ملفات آمنة

وصول عن بُعد

مزامنة ملفات بين الموظفين

بديل سحابي لشبكات الملفات الداخلية

باختصار:

 Triofox هو الجسر بين ملفات الشركة والسحابة

 وهذا يجعله هدفًا ذهبيًا للقراصنة

ما هي الثغرة CVE-2025-12480؟

الثغرة عبارة عن فشل كارثي في منطق التحقق من الهوية (Access Control Logic Gap)، حيث يمنح النظام صلاحيات “مدير” لأي طلب HTTP إذا كان الحقل Host = localhost

 يعني لو الهاكر قدر يزور قيمة الـ Host header في الطلب → يصبح "أدمن" بدون كلمة سر

الخطأ الأكبر:

إذا لم يتم ضبط خيار TrustedHostIp في إعدادات البرنامج (وهو الوضع الافتراضي) فإن check localhost يصبح البوابة الوحيدة للحماية

كيف استغل الهاكرز الثغرة؟

الهاكرز – وهم مجموعة تهديد تحمل الاسم UNC6485 – نفذوا الهجوم بخطوات دقيقة:

أرسلوا طلب HTTP GET يحتوي على Host: localhost

رغم أنهم خارج الشبكة تمامًا

النظام صدّق الطلب وفتح لهم صفحة إعداد المدير:

AdminDatabaseaspx

وهي الصفحة التي تظهر بعد تثبيت Triofox لأول مرة

أنشأوا حساب مدير جديد:

"Cluster Admin"

رفعوا سكربت Batch خبيث إلى الخادم

استخدموا ميزة تحديد مسار مضاد الفيروسات في Triofox

لتوجيه البرنامج لتشغيل الملف الخبيث بدلًا من برنامج مضاد الفيروسات الحقيقي

الملف تم تشغيله بصلاحيات:

SYSTEM

وهي أعلى صلاحيات ممكنة في نظام ويندوز

السكربت قام بتنزيل حمولة إضافية (Zoho UEMS)

وبدأ تثبيت أدوات تسجيل الدخول عن بُعد

ماذا فعل الهاكرز بعد الدخول؟

بعد الحصول على صلاحيــات SYSTEM:

✔️ قاموا بتنزيل أدوات التحكم عن بُعد:

Zoho Assist

AnyDesk

هذه الأدوات تُستخدم للتحكم الكامل في السيرفر والتنقل بين الأنظمة

✔️ استخدموا أدوات لفتح نفق سري:

Plink

PuTTY

لإنشاء قناة SSH خفية تُعيد توجيه حركة المرور إلى منفذ RDP (3389)

هذا يعني: الوصول الكامل لسطح المكتب عن بُعد بدون أن يشعر أحد

✔️ حركة جانبية (Lateral Movement)

بدأوا استكشاف الشبكة الداخلية ومحاولة الانتشار إلى أجهزة أخرى

 من هم الهاكرز؟

المجموعة التي نفذت الهجوم تُعرف باسم:

🔥 UNC6485

مجموعة متقدمة (APT-like)

هجماتهم دقيقة وموجهة

متخصصة في استغلال منصات إدارة الملفات

لم يُعرف أصلها رسميًا

لكن أسلوبها احترافي وينافس مجموعات مثل APT29 و APT37

 لماذا هذه الثغرة خطيرة جدًا؟

لأنها تجمع عدة عوامل قاتلة:

❌ تخطي المصادقة بالكامل

بنقرة واحدة يصبح المهاجم "أدمن"

❌ تعتمد على تزوير بسيط في Host header

أي شخص خارج الشبكة يستطيع إرسال الطلب

❌ تشغيل برمجيات بصلاحيات SYSTEM

وهذا يعني:

تثبيت أي برنامج

قراءة/حذف/تشفير الملفات

التحكم الكامل في السيرفر

❌ استغلال ميزة شرعية داخل النظام

(ميزة مضاد الفيروسات)

وهذا يجعل الهجوم غير مرئي تقريبًا

❌ كانت موجودة في الإصدارات الافتراضية

بدون وجود إعدادات حماية إضافية

 كيف تحمي نفسك كفرد؟

حتى لو كنت لا تدير خوادم، هناك نصائح مهمة:

✔️ 1 لا تعتمد على البرامج غير المحدثة

دايمًا قم بتحديث أي برنامج أو نظام لديك

خصوصًا برامج الوصول عن بعد وتخزين الملفات

✔️ 2 راقب أي أدوات تحكم عن بعد على جهازك

مثل AnyDesk، TeamViewer، Zoho

إذا وجدت أحدها مثبتًا بدون علمك → مشكلة خطيرة

✔️ 3 لا تتجاهل تحديثات ويندوز

الكثير من البرمجيات الخبيثة تعتمد على صلاحيات فتحها الثغرات القديمة

✔️ 4 استخدم مضاد فيروسات بخصائص الكشف السلوكي Behavioral Detection

وليس فقط مراقبة الملفات

✔️ 5 راقب عمليات PowerShell المشبوهة

الهجوم اعتمد على PowerShell لتنزيل حمولة إضافية

 الخلاصة

ثغرة قاتلة في Triofox سمحت للمهاجمين بتخطي نظام المصادقة بالكامل

الهاكرز UNC6485 تمكنوا من إنشاء حساب مدير، وتشغيل سكربتات بصلاحيات SYSTEM

استخدموا أدوات تحكم عن بعد ونفق SSH للحصول على وصول كامل لسيرفر الشركة

الثغرة خطيرة لأنها بسيطة، مميتة، وتستغل ميزة شرعية داخل النظام

الحل: التحديث العاجل + مراجعة حسابات المدير + التحقق من إعدادات الـTrustedHostIp