12 de noviembre de 2025

🧠 “Cluster Admin”: la puerta trasera silenciosa que está poniendo en riesgo a empresas que usan Triofox

🧠 “Cluster Admin”: la puerta trasera silenciosa que está poniendo en riesgo a empresas que usan Triofox

Imagina que un atacante puede entrar a tu servidor sin contraseñas, crear su propio usuario con permisos de administrador y, desde ahí, instalar herramientas de control remoto sin que nadie lo note. Suena a una historia vieja… pero está ocurriendo ahora mismo con Triofox.

🔥 La vulnerabilidad en juego

Desde agosto de 2025, un grupo de amenazas conocido como UNC6485 está explotando una vulnerabilidad crítica identificada como CVE-2025-12480 en Triofox, con un puntaje de 9.1 en CVSS (riesgo crítico).
El fallo permite acceso no autenticado a las páginas de configuración del sistema simplemente manipulando un encabezado HTTP llamado Host. Con ese pequeño truco, los atacantes saltan el proceso de autenticación y aprovechan la configuración inicial para crear una cuenta administrativa llamada “Cluster Admin”.

🧩 Cómo logran el control total

Una vez con esa cuenta, los atacantes ejecutan código malicioso abusando de una función legítima del propio antivirus integrado de Triofox.
Esta función permite definir la ruta del motor antivirus, pero si el atacante cambia esa ruta hacia un script malicioso, obtiene acceso con permisos de SYSTEM, es decir, control total.

A partir de ahí, instalan herramientas como Zoho Assist o AnyDesk, creando túneles cifrados, abriendo sesiones RDP ocultas y cambiando contraseñas para mantener acceso persistente sin ser detectados.

🧰 Qué debes hacer si usas Triofox

Aunque el fabricante Gladinet lanzó un parche en junio de 2025, muchas implementaciones siguen vulnerables por no haber actualizado.
Si trabajas en infraestructura o seguridad, esto es lo que debes revisar hoy mismo:

  1. 🔄 Actualiza a la versión 16.7.10368.56560 o superior.

  2. 👥 Audita las cuentas administrativas, buscando “Cluster Admin” u otros usuarios no autorizados.

  3. 🧠 Verifica la ruta del motor antivirus: asegúrate de que no haya sido modificada para ejecutar scripts sospechosos.

  4. 📊 Monitorea actividad inusual: cambios de contraseña, conexiones RDP inesperadas o tráfico SSH saliente no habitual.

💡 Lección para todos en TI

Este caso demuestra cómo una función legítima, pensada para proteger, puede convertirse en un vector de ataque interno si no se administra con rigor.
No se trata solo de aplicar parches, sino de mantener una cultura de monitoreo continuo, detectar patrones anómalos y entender que la seguridad no termina cuando instalas el antivirus: ahí apenas comienza.

Fuente: https://securityaffairs.com/184439/hacking/critical-triofox-bug-exploited-to-run-malicious-payloads-via-av-configuration.html
Siguiente → 🕵️‍♂️ “Fantasy Hub”: el RAT en Telegram ...
Escrito por:
Luis Carreón
📰 Otras noticias del día
🕵️‍♂️ “Fantasy Hub”: el RAT en Telegram que convierte teléfonos Android en centros de espionaje
⚠️ Un error de una letra: el ataque que comprometió 47,000 builds en GitHub
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio