در آذر ۱۴۰۴ چندین آسیب‌پذیری حیاتی و در حال بهره‌برداری واقعی در نرم‌افزارها و سیستم‌های پرکاربرد در دنیا کشف یاPatch  شده‌اند که هرکدام می‌تواند منجر به نفوذ، اجرای کد از راه دور، تصاحب سیستم یا نشت اطلاعات شود.

در این گزارش از HelloDigi، تمرکز صرفاً بر آسیب‌پذیری‌هایی است که:

✔ یا در فضای واقعی (In-the-Wild) مورد سوء‌استفاده قرار گرفته‌اند

✔ یا طبق هشدار رسمی Vendorها و CISA، ریسک Exploit فوری دارند

 در ادامه، مهم‌ترین آن‌ها را همراه با توضیحات فنی مرور می‌کنیم:

🔥  1.  CVE-2025-20393  — آسیب‌پذیری Zero-Day بحرانی در Cisco AsyncOS

✔ شرح: یک آسیب‌پذیری صفر-روز (zero-day) در Cisco Secure Email Gateway و Secure Email and Web Manager  که توسط گروه تهدید پیشرفته وابسته به چین (UAT-9686) در حملات واقعی مورد سوءاستفاده قرار می‌گیرد. مهاجمان می‌توانند دستورات سطح سیستمی اجرا کنند و backdoor نصب کنند.

✔ وضعیت:  فعال در حملات واقعی و در فهرست آسیب‌پذیری‌های شناخته‌شده مورد سوءاستفاده (KEV)  قرار گرفته است.

اقدام ضروری:

Patch ✔فوری

✔ در صورت شواهد نفوذ: بازسازی کامل Appliance

✔ ایزوله‌سازی سیستم‌های Internet-facing

🔥  2.  CVE-2025-55182 — React2Shell : بحرانی و در حال بهره‌برداری

✔ شرح: نام عمومی React2Shel l برای یک آسیب‌پذیری بسیار بحرانی ۱۰/۱۰ (CVSS) در React Server Components  است که به مهاجمین اجازه اجرای کد دلخواه و نصب بدافزار می‌دهد.

✔ وضعیت: پس از انتشار عمومی، بهره‌برداری از آن از سوی گروه‌های مرتبط با دولت چین و کره شمالی گزارش شده است و شامل استقرار بدافزار EtherRAT  در شبکه‌ها است.

این آسیب‌پذیری به‌ویژه برای سازمان‌هایی که از SSR، Next.js و RSC فعال استفاده می‌کنند بسیار خطرناک است.

اقدام ضروری:

✔ ارتقا React و فریم‌ورک‌های وابسته به نسخه‌های Patch شده

✔ حداقل نسخه پیشنهادی:  19.0.1+

🔥  3.  Fortinet  —  دو آسیب‌پذیری بحرانی تحت بهره‌برداری

✔ شناسه‌ها:  CVE-2025-59718  و CVE-2025-59719

✔ شرح: این دو آسیب‌پذیری امکان دسترسی مدیریتی غیرمجاز از طریق پیام‌های SAML crafted را برای مهاجم فراهم می‌کنند، به‌ویژه در FortiOS، FortiWeb و سایر محصولات Fortinet .

✔ حملات واقعی: شواهد سوءاستفاده در فضای واقعی وجود دارد، با دسترسی به فایل‌های پیکربندی حساس گزارش شده.

✔ اقدام: غیر‌فعال‌سازی FortiCloud SSO و اعمال سریع پچ‌ها.

🔥Cisco ASA / Firepower / FTD.4  — چند CVE بحرانی در حال بهره‌برداری

این مجموعه شامل چندین نقص مهم است که آژانس‌های امنیتی از جمله CISA به‌صورت رسمی هشدار داده‌اند:

CVE-2025-20333 : اجرای کد از راه دور روی ASA/FTD با استفاده از WebVPN یا HTTP crafted requests (امتیاز 9.9)

CVE-2025-20362 : دسترسی به URLهای محافظت‌نشده بدون احراز هویت.

CVE-2025-20363 : اجرای کد/شرایط بحرانی دیگر روی ASA/FTD و برخی سیستم‌های Cisco IOS

وضعیت:
✔  Exploited in the Wild
✔ هشدار رسمی CISA

بیشترین حملات روی VPN و سرویس‌های WebVPN در معرض اینترنت گزارش شده‌اند.

اقدامات توصیه‌شده:

✔ آپدیت فوری به نسخه‌های امن

✔ بررسی لاگ‌ها برای Indicators of Compromise

✔ اجرای Emergency Directiveهای Vendor

📱  5. آسیب‌پذیری‌های مهم در Apple WebKit (iOS / macOS /  Safari)

✔ شناسه‌ها:  CVE-2025-43529 و CVE-2025-14174

✔ شرح: این دو باگ با اجرای کد از راه دور از طریق WebKit، در حملات واقعی مورد سوء‌استفاده قرار گرفته‌اند و باعث خطر برای دستگاه‌های iPhone، iPad، Mac و Safari شده‌اند.

✔ اقدام: به‌روزرسانی فوری سیستم‌عامل‌ها و مرورگرها توصیه می‌شود.

🤖  6.  Android  – پچ امنیتی گسترده گوگل

✔ آسیب‌پذیری‌ها: بیش از ۱۰۷ باگ در اندروید وصله شده‌اند که شامل حداقل دو Zero-Day فعال می‌شود :  CVE-2025-48633 و CVE-2025-48572 .

✔ اثرات: نقص‌هایی که منجر به اطلاعات‌برداری یا افزایش سطح دسترسی می‌شوند.

✔ اقدام: نصب به‌روزرسانی امنیتی ماه دسامبر برای تمام دستگاه‌های Android 13–16 .

 ⚠️  7. CVE-2025-59374 — Asus Live Update زنجیره تأمین

✔ شرح: این باگ بحرانی در Asus Live Update، که در اثر یک عملیات ShadowHammer در زنجیره تأمین رخ داده، در حال سوء‌استفاده است و امکان دسترسی غیرمجاز به سیستم‌ها را فراهم می‌کند.

✔ اقدام: توقف استفاده و به‌روزرسانی/حذف آن برای کاهش خطر.

🛠️  8. CVE-2025-58360 — GeoServer (XML External Entity)

✔ شرح: یک آسیب‌پذیری XML External Entity (XXE) در GeoServer، با نمره بالا، که موجب دسترسی غیرمجاز به فایل‌ها، SSRF یا اختلال خدمات می‌شود.

✔ وضعیت: گزارش بهره‌برداری واقعی و اضافه شدن به فهرست KEV .

✔ اقدام: به‌روزرسانی به نسخه‌های امن بالقوه قبل از پایان ۲۰۲۵.

🔐 9. Kerio Control  —  CVE-2025-34070 (Authentication  Bypass & RCE)

✔ شرح: یک نقص جدی در GFI KerioControl 9.4.5 (GFIAgent component)  که به مهاجم بدون احراز هویت امکان اجرای عملیات مدیریتی و احتمالا دسترسی کامل به appliance را می‌دهد.

✔ تأثیر: این آسیب‌پذیری می‌تواند دسترسی مدیریتی کامل فراهم کند اگر پورت‌های سرویس در معرض اینترنت باشند.
  : توصیه✔

ارتقا به نسخه‌های امن‌تر (9.5.p1+)

محدودسازی دسترسی پورت‌های مدیریتی

  سایر آسیب‌پذیری‌های مهم ماه نوامبر‌/دسامبر 📌

سایر آسیب‌پذیری‌های Fortinet قابل توجه (اما با اهمیت پایین‌تر)

اگرچه در دسته «بهره‌برداری فعال» نیستند، این موارد نیز برای شبکه‌های FortiGate/Proxy مهم‌اند:

CVE-2025-47295 : 

 buffer over-read در FortiOS که می‌تواند منجر به Denial of Service شود (شدت کم‌تر).

CVE-2025-47890 :

 URL redirect به سایت‌های ناامن در FortiOS/FortiProxy/FortiSASE.

CVE-2025-24477 :

 heap-based buffer overflow در FortiOS affecting wireless clients .

📌  همه این موارد باید در فرآیند Patch Management گنجانده شوند.

📍  CVE-2025-64446 & CVE-2025-58034 – Fortinet FortiWeb

آسیب‌پذیری‌های بحرانی با بهره‌برداری در فضای واقعی که امکان اجرای دستورات ناامنی فراهم می‌کنند

📍 CVE-2025-21042 — Samsung LANDFALL Android Spyware

مورد استفاده در کمپین‌های جاسوسی جهت اجرای کد بدون کلیک و سرقت داده‌ها از دستگاه های سامسونگ

📍 CVE-2025-62215 — Windows Kernel Race Condition

نقص زمان‌بندی در هسته Windows که می‌تواند منجر به افزایش سطح دسترسی شود

📈  جمع‌بندی و توصیه‌های امنیتی

.  پچ‌سازی سریع: اعمال آپدیت‌های امنیتی Cisco, Fortinet, Apple, Google و دیگر فروشندگان ضروری است
بررسی فهرست‌های KEV / CISA : آسیب‌پذیری‌های فعالْ در این فهرست‌ها اولویت دارند.
تقویت نظارت بر لاگ‌ها و رفتارهای غیرمعمول: به‌خصوص در سرورها و تجهیزات شبکه.
مدیریت وصله‌ها (Patch Management) : فرآیند منظم برای نصب، تست و تأیید وصله‌ها ایجاد کنید.

.اگر زیرساخت شما شامل تجهیزات Cisco، Fortinet، Kerio یا سیستم‌های Mobile است، بررسی وضعیت Patch و Exposure در این بازه زمانی ضروری است