Giriş: Yetkilendirmeyi Atlayıp “Yönetici” Oldular
Siber güvenlik dünyasında yeni ve tehlikeli bir saldırı vektörü keşfedildi. UNC6485 olarak izlenen tehdit aktörü, kurumsal dosya paylaşım çözümü Triofox (ve kardeşi CentreStack) üzerindeki kritik bir güvenlik açığını (CVE-2025-12480) aktif olarak sömürüyor.
CVSS skoru 9.1 (Kritik) olan bu zafiyet, saldırganların kimlik doğrulama mekanizmalarını tamamen atlatmasına ve sistem üzerinde en yüksek yetki seviyesi olan SYSTEM haklarına erişmesine olanak tanıyor.
Bu makale, saldırının nasıl gerçekleştiğini, kullanılan “Antivirüs Yolu” hilesini ve CUMBUR.NET okuyucularının sistemlerini nasıl koruyacağını detaylandırmaktadır.
🔍 Saldırı Zinciri: Adım Adım SYSTEM Yetkisine Giden Yol
UNC6485’in kullandığı yöntem, basit bir sızmadan öte, uygulamanın kendi özelliklerini ona karşı kullanan sofistike bir zincirden oluşuyor:
1. Kimlik Doğrulama Atlatma (The Bypass)
Saldırganlar, CVE-2025-12480 zafiyetini kullanarak Triofox’un kimlik doğrulama katmanını bypass ediyor. Bu aşamada, sistemin kurulum sihirbazına veya yönetim paneline yetkisiz erişim sağlıyorlar.
2. Sahte Yönetici Oluşturma
Erişim sağlandıktan sonra saldırganlar, sistem üzerinde meşru görünümlü yeni bir Yönetici (Admin) hesabı oluşturuyor. Bu, onlara uygulama içi ayarlara tam erişim veriyor.
3. “Antivirüs Yolu” Hilesi (The Clever Trick)
Saldırının en can alıcı noktası burasıdır. Triofox, yüklenen dosyaların taranması için harici bir antivirüs yazılımının yolunun (path) belirtilmesine izin verir.
-
Saldırganlar, bu “Antivirüs Yolu” ayarını değiştiriyor.
-
Gerçek bir antivirüs exe’si yerine, kendi hazırladıkları zararlı bir toplu iş dosyası olan
centre_report.batdosyasını hedef gösteriyorlar. -
Sistem bir dosya taraması yapmaya çalıştığında, aslında saldırganın kodunu çalıştırıyor.
4. SYSTEM Olarak Çalıştırma
Triofox servisi genellikle Windows üzerinde NT AUTHORITY\SYSTEM (en yüksek yetki) ile çalışır. Dolayısıyla, antivirüs sandığı zararlı bat dosyası da SYSTEM yetkileriyle çalıştırılır. Sonuç: Sunucunun tam kontrolü saldırganın eline geçer.
🛠️ Teknik Özet
| Kategori | Detaylar |
|---|---|
| Zafiyet Kodu | CVE-2025-12480 |
| Risk Puanı | 9.1 (KRİTİK) |
| Hedef Yazılım | Triofox / CentreStack |
| Saldırı Yöntemi | Auth Bypass -> Admin Creation -> Config Manipulation |
| Kritik Teknik | Antivirüs Tarama Yolunu Değiştirme (Path Manipulation) |
🛡️ Tespit ve Korunma Yöntemleri
Bu saldırı, yapılandırma değişikliğine dayandığı için tespit edilmesi zor olabilir.
-
Acil Yama: Triofox ve CentreStack sunucularınızı satıcının yayınladığı en son sürüme derhal güncelleyin.
-
Konfigürasyon Denetimi: Yönetim panelinde “Antivirüs” veya “Virse Tarama” ayarlarını kontrol edin. Tanımlı yolun (path) meşru bir antivirüs yazılımına (örn: Sophos, Windows Defender) işaret ettiğinden emin olun.
cmd.exe,powershell.exeveya şüpheli.batdosyalarına işaret ediyorsa sisteminiz ele geçirilmiş olabilir. -
Yönetici Hesapları: Sisteme yakın zamanda eklenen bilinmeyen yönetici hesaplarını kontrol edin ve silin.
-
Dosya Taraması: Sunucuda
centre_report.batveya benzeri şüpheli script dosyalarını arayın.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
