در روزهای اخیر (آبان ۱۴۰۴ — نوامبر ۲۰۲۵) چند آسیبپذیری با شدت بالا و سوءاستفادهی فعال منتشر یا به فهرست Known Exploited Vulnerabilities (KEV) اضافه شدهاند. مهمترین آنها: باگ کرنل ویندوز (CVE-2025-62215)، دو zero-day بحرانی در فایروالهای Cisco (CVE-2025-20333 / CVE-2025-20362) و چند CVE دیگر که توسط VulnCheck و CISA بهعنوان «در حال سوءاستفاده» شناخته شدهاند.
جدول خلاصه آسیب پذیری ها
|
CVE |
محصول / مؤثر بر |
نوع / تاثیر |
وضعیت فعلی |
منبعها |
|
CVE-2025-62215 |
Windows Kernel |
Privilege escalation (race condition) .zero-day، امتیاز CVSS متوسط-بالا |
Exploited / پچ توسط مایکروسافت )Patch Tuesday نوامبر ۲۰۲۵) |
MSRC / NVD / پوشش خبری Tom's Guide. |
|
CVE-2025-60724 |
GDI+ (Windows) |
Remote code execution via crafted metafiles |
پچ شده ولی در معرض تهدید است |
Tom's Guide / SocRadar. |
|
CVE-2025-20333 |
Cisco Secure Firewall ASA / FTD (WebVPN) |
Buffer overflow → RCE (ممکن است به root منجر شود) |
Exploited in the wild در فهرست هشدار و توصیه پچ فوری. نمونههای اینترنتی زیادی باقیماندهاند |
Cisco advisory / NVD / Tenable / TechRadar. |
|
CVE-2025-20362 |
Cisco Secure Firewall ASA / FTD |
Authorization bypass / unauthenticated access → escalation chain |
Exploited in the wild، باجافزار/APT از آن استفاده کردهاند |
Cisco advisory / NVD / Tenable. |
|
CVE-2025-48384 |
Git (submodule handling) |
Supply-chain / arbitrary code execution via crafted submodules |
در KEV (CISA) .پچ شده در نسخههای جدید Git. سازمانها باید فوراً پچ کنند |
CISA / TechRadar. |
|
مجموعهای از CVEها (اضافهشده به KEV توسط VulnCheck/CISA در نوامبر) |
متنوع (Adobe, Oracle EBS, Redis, Magento و...) |
RCE, SSRF, LFI, Use-After-Free و غیره |
برخی در KEV رسمی CISA و بسیاری ابتدا در VulnCheck فهرست شدهاند.بررسی فوری توصیه میشود |
VulnCheck research highlights / CISA KEV. |
جزئیات همراه با نکات فنی و توصیه ها
1.CVE-2025-62215 Windows Kernel (privilege escalation) .
این آسیبپذیری ناشی از یک Race Condition در ماژول کرنل ویندوز هنگام مدیریت Object Handleهاست و به مهاجم محلی اجازه میدهد کنترل اجرای thread را از طریق دستکاری همزمان توابع NtQueryObject/NtSetInformationObject بهدست بگیرد. مهاجم میتواند با استفاده از یک فرآیند کمامتیاز، عملیات reference-counting را بهگونهای دستکاری کند که کرنل در مسیر اشتباه به یک pointer آزادشده (Use-After-Free) ارجاع دهد و در نهایت Token یک فرآیند SYSTEM را روی thread آلوده Map کند.
این باگ معمولاً در زنجیرههای post-exploitation پس از RCE اولیه استفاده میشود تا persistence و Lateral Movement با سطح دسترسی SYSTEM امکانپذیر گردد.
راهکار فوری: نصب Patch Tuesday نوامبر، فعالسازی EDR پیشرفته و مانیتورینگ Sysmon برای eventهای غیرمعمول در Object Manipulation .
2.CVE-2025-20333 Cisco ASA/FTD WebVPN Remote Code Execution .
این نقص از یک Buffer Overflow در مسیر پردازش پارامترهای WebVPN ناشی میشود که در کد تابع responsible for session token parsing رخ میدهد. مهاجم بدون نیاز به احراز هویت میتواند یک HTTP request دستکاریشده با اندازهٔ غیرمجاز ارسال کند که موجب تخریب Stack و در نهایت اجرای کد دلخواه با سطح دسترسی root در سیستمعامل underlying میشود. به دلیل قرار گرفتن WebVPN Interface روی Internet Edge، این exploit از راه دور قابل اجراست و در حملات واقعی مشاهده شده که گروههای APT از آن برای Shell Establishment، استخراج configهای حساس، pivot به سمت شبکه داخلی و تزریق backdoor روی ASA استفاده کردهاند.
دفاع: غیرفعالکردن WebVPN، محدودسازی دسترسی، و نصب فوری وصلههای Cisco .
3.CVE-2025-20362 Cisco ASA/FTD Authorization Logic Bypass.
این ضعف یک نقص منطقی (Logic Flaw) در مسیر Session Validation ماژول WebVPN است که باعث میشود مهاجم بتواند با جعل یک Session ID ناقص ولی قالبدار، از بخش Authentication Skipping عبور کند. مشکل از آنجاست که ASA در شرایط خاص، فیلدهای Session Metadata را قبل از انجام validation کامل Parse میکند و در نتیجه مهاجم میتواند بدون داشتن Credential معتبر، خود را بهعنوان یک کاربر Authenticated جا بزند. این نقص اغلب همراه با RCE (مثل 20333) بهصورت یک Attack Chain استفاده میشود تا ابتدا مهاجم وارد بخش مدیریت شود و سپس Payload خود را روی استک ASA تزریق کند.
برای کاهش ریسک: فعالسازی Strict Session Checking، استفاده از ACL روی WebVPN Interface و تحلیل رفتارهای غیرعادی در syslogهای ASA توصیه میشود.
4. CVE-2025-48384 .Git Submodule Execution (Supply Chain Risk)
این آسیبپذیری از نحوه مدیریت Carriage Return در مسیر resolve کردن submoduleها ناشی میشود که میتواند باعث شود Git هنگام clone یا update یک repository crafted، به یک مسیر غیرمجاز اشاره کند. مهاجم میتواند یک submodule با ساختار متنی دستکاریشده ایجاد کند که Git در زمان Checkout آن را بهعنوان مسیر فایل محلی تعبیر میکند و سپس اسکریپت مخرب در hook اجرا میشود. این نقص در زنجیره CI/CD بسیار خطرناک است زیرا مهاجم بدون دسترسی به سرور Build یا Developer Machine میتواند با یک Pull Request آلوده، کد مخرب را وارد زنجیره Buildکند.
دفاع موثر شامل ارتقاء Git، غیرفعالکردن Execution Hooks، اعتبارسنجی submodule URLها و Enforcement سیاستهای امنیتی در CI/CD Pipeline است.
5. مواردی که VulnCheck ابتدا گزارش کرد و احتمال دارد هنوز در KEV کامل نشوند
VulnCheck در اکتبر/نوامبر ۲۰۲۵ تعداد زیادی CVE را به KEV خودش اضافه کرده که بعضی هنوز در CISA فهرست نشدهاند (مثلاً آسیبپذیریهای Adobe Commerce/Magento، Oracle EBS SSRF و Redis UAF که پیشتر ذکر شد). این موارد اغلب قبل از اینکه CISA اضافه کند، توسط تحلیلگران مستقل شناسایی میشوند. بنابراین تیمهای اپراتور باید هر دو منبع (CISA + VulnCheck) را نظارت کنند.
اولویتبندی پیشنهادی برای تیمهای امنیتی (عملی و سریع)
-
فهرستبرداری داراییها (Asset Inventory) : دستگاههای Cisco ASA/FTD، سرورهای Windows، Git servers، Adobe/Oracle/Magento، Redis را شناسایی کنید.
-
پچگذاری فوری : مواردی که در جدول بالا با وضعیت «Exploited / KEV» هستند را در اولویت قرار دهید (ویندوز Patch Tuesday، فایروالهای Cisco، Git).
- محدودسازی دسترسی : اگر بلافاصله نمیتوان پچ کرد: WebVPN interfaces را از اینترنت محدود کنید، دسترسی مدیریت را به VLAN/management network انتقال دهید.
- افزایش نظارت و شکار تهدید (Hunting) : بررسی Indicators of Compromise از advisories (لاگهای لاگین، درخواستهای HTTP نامعمول، اسکریپتهای جدید، ارتباطات خارجی مشکوک).
- استفاده از منابع KEV ترکیبی : علاوه بر CISA KEV، از VulnCheck KEV برای دید زودهنگام استفاده کنید. (زیرا VulnCheck معمولاً سریعتر برخی exploitها را فهرست میکند).
