اصلاحیه‌های امنیتی دی 1403

در دی 1403، مایکروسافت، سیسکو، فورتی‌نت، سوفوس، وی‌ام‌ور، ترلیکس، گوگل، موزیلا، ادوبی و اس‌ای‌پی اقدام به عرضه به‌روزرسانی برای ترمیم آسیب‌پذیری‌های امنیتی در برخی محصولات خود کردند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این به‌روزرسانی‌های منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.

مایکروسافت

25 دی، شرکت مایکروسافت (Microsoft)، مجموعه‌‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی ژانویه 2025 منتشر کرد. اصلاحیه‌های مذکور، 159 آسیب‌پذیری را که 8 مورد آنها، روز-صفر گزارش شده‌اند در محصولات مختلف این شرکت ترمیم می‌کنند.

نکته قابل توجه این که حداقل 3 مورد از این آسیب‌پذیری‌های ترمیم‌شده، از مدتی پیش موردسوءاستفاده مهاجمان قرار گرفته‌اند.

مجموعه‌اصلاحیه‌های ماه ژانویه، انواع مختلفی از آسیب‌پذیری‌ها از جمله موارد زیر را در محصولات مایکروسافت ترمیم می‌کنند:

• Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
• Elevation of Privilege (افزایش سطح دسترسی)
• Information Disclosure (افشای اطلاعات)
• Denial of Service – به اختصار DoS (منع سرویس)
• Security Feature Bypass (دور زدن سازوکارهای امنیتی)
• Spoofing (جعل)

RCE و Elevation of Privilege، به ترتیب با 58 و 40 مورد، بیشترین سهم از انواع آسیب‌پذیری‌های این ماه را به خود اختصاص داده‌اند.

9 مورد از آسیب‌پذیری‌های وصله‌شده، “بحرانی” (Critical) گزارش شده‌اند. شدت سایر آسیب‌پذیری‌ها (150 مورد) نیز “زیاد” (Important) اعلام شده است. در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه حساسیت یا “بحرانی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه حساسیت “زیاد” برطرف و ترمیم می‌گردند.

همان‌طور که اشاره شد 8 مورد از آسیب‌پذیری‌های وصله‌شده، از نوع “روز-صفر” (Zero-day) اعلام شده‌اند. مایکروسافت، آن دسته از آسیب‌پذیری‌ها را روز-صفر می‌داند که قبل از عرضه اصلاحیه و به‌روزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفته‌اند یا جزییات آنها به‌طور عمومی افشا شده باشد.

از مجموع 8 آسیب‌پذیری روز-صفر این ماه، 3 مورد زیر از مدتی پیش توسط مهاجمان اکسپلویت شده‌اند:

• CVE-2025-21333
• CVE-2025-21334
• CVE-2025-21335

هر سه آسیب‌پذیری مذکور، از نوع Elevation of Privilege بوده و Windows Hyper-V از آنها متأثر می‌شود. سوءاستفاده موفق از این ضعف‌های امنیتی، دسترسی مهاجم را تا سطح SYSTEM ارتقا می‌دهد.

جزییات 5 آسیب‌پذیری زیر نیز اگر چه به‌صورت عمومی افشا شده اما موردی دال بر سوءاستفاده مهاجمان از آنها گزارش نشده است:

• CVE-2025-21275 – ضعفی دیگر از نوع Elevation of Privilege که Windows App Package Installer از آن تأثیر می‌پذیرد.

• CVE-2025-21308 – ضعفی از نوع Spoofing که سوءاستفاده از آن، امکان اعمال Theme دلخواه مهاجم را بر روی سیستم عامل Windows قربانی فراهم می‌کند.

• CVE-2025-21186, CVE-2025-21366, CVE-2025-21395 – هر سه، آسیب‌پذیری‌هایی از نوع RCE در Microsoft Access هستند. ارسال یک فایل Microsoft Access دستکاری‌شده به قربانی و تشویق او به اجرای آن از جمله سناریوهای محتمل برای سوءاستفاده از این باگ‌های امنیتی می‌تواند باشد.

سیسکو

شرکت سیسکو (Cisco Systems)، در دی ماه، 7 آسیب‌پذیری را که شدت یکی از آنها “بالا” (High) گزارش شده در محصولات مختلف خود ترمیم کرد. اطلاعات بیشتر در خصوص به‌روزرسانی‌ها و اصلاحیه‌های سیسکو در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

فورتی‌نت

در دهمین ماه 1403، شرکت فورتی‌نت (Fortinet)، اقدام به ترمیم سه آسیب‌پذیری “بحرانی” زیر کرد:

• CVE-2024-48884 و CVE-2024-48885 در FortiManager, FortiOS, FortiProxy, FortiRecorder, FortiVoice, & FortiWeb
• CVE-2024-55591 در FortiOS و FortiProxy

سوفوس

بتازگی نیز شرکت سوفوس (Sophos)، از ترمیم سه آسیب‌پذیری در محصولات فایروال خود خبر داده است.

شدت دو مورد از این سه آسیب‌پذیری، “بحرانی” (Critical) اعلام شده است. هر چند بر طبق اعلام شرکت سوفوس، موردی دال بر سوءاستفاده مهاجمان از آنها گزارش نشده است.

فهرست این آسیب‌پذیری‌ها به شرح زیر است:

CVE-2024-12727: یک آسیب‌پذیری Pre-auth SQL Injection در قابلیت Email Protection که سوءاستفاده موفق از آن، مهاجم را قادر به دستیابی به پایگاه داده گزارش‌دهی فایروال و در ادامه اجرای کد به‌صورت از راه دور می‌کند. بهره‌جویی از این آسیب‌پذیری، مستلزم فعال بودن ویژگی Secure PDF eXchange – به اختصار SPX – و قرار داشتن فایروال در حالت High Availability یا همان HA است.

CVE-2024-12728: ضعفی در راه‌اندازی کلاستر HA است که موجب می‌شود Passphrase پیشنهادی مربوط به SSH Login، حتی پس از تکمیل فرآیند راه‌اندازی، همچنان فعال باقی بماند. مساله‌ای که می‌تواند منجر به افشای حساب کاربری سیستمی دارای سطح دسترسی بالا در صورت فعال بودن SSH در فایروال شود.

CVE-2024-12729: یک آسیب‌پذیری تزریق کد پس از احراز هویت (Post-auth Code Injection) که User Portal فایروال سوفوس از آن متأثر می‌شود. سوءاستفاده از آسیب‌پذیری مذکور، مهاجم را قادر به اجرای از راه دور کد (RCE) خواهد کرد.

ضعف‌های امنیتی مذکور در نسخه‌های زیر برطرف شده‌اند:

CVE-2024-12727 – v21 MR1+ (Hotfixes for v21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2)

CVE-2024-12728 – v20 MR3, v21 MR1 and newer (Hotfixes for v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v20 MR2)

CVE-2024-12729 – v21 MR1+ (Hotfixes for v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3)

در صورت فعال بودن گزینه Allow automatic installation of hotfixes، فرایند اعمال Hotfix و ترمیم این آسیب‌پذیری‌ها به‌صورت خودکار انجام می‌گردد. همچنین شرکت سوفوس راهکارهایی را برای مقاوم‌سازی فایروال آن دسته از سازمان‌هایی که امکان اعمال Hotfix را ندارند ارائه کرده است. جزییات بیشتر در توصیه‌نامه امنیتی زیر قابل مطالعه است:

https://www.sophos.com/en-us/security-advisories/sophos-sa-20241219-sfos-rce

وی‌ام‌ور

شرکت وی‌ام‌ور (VMware)، یک آسیب‌پذیری با شناسه CVE-2025-22215 را در Aria Automation و Cloud Foundation ترمیم و اصلاح کرده است. آسیب‌پذیری مذکور، ضعفی از نوع Server-side Request Forgery – به اختصار SSRF – گزارش شده است. جزییات بیشتر در لینک زیر:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25312

ترلیکس

ترلیکس (Trellix) نیز اقدام به عرضه نسخه‌های زیر کرد:

Trellix Application and Change Control 8.4.2 Hotfix 1:

https://docs.trellix.com/bundle/application-change-control-v8-4-x-hotfix1-release-notes

Exploit Prevention / Host Intrusion Prevention Content 10.7.0.13631:

https://www.trellix.com/assets/release-notes/mep-release-notes-windows.pdf

گوگل

در اولین ماه زمستان 1403، شرکت گوگل (Google)، در دو نوبت اقدام به انتشار نسخ جدید برای مرورگر خود، یعنی Chrome نمود. نسخه‌های جدید، 20 آسیب‌پذیری امنیتی را برطرف کرده‌اند. 132.0.6834.84، آخرین نسخه از این مرورگر است که 25 دی منتشر شد. جزییات آسیب‌پذیری‌های ترمیم‌شده در لینک‌های زیر قابل دریافت است:

https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html

https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop.html

موزیلا

در دی، شرکت موزیلا (Mozilla)، چندین ضعف امنیتی را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این باگ‌های امنیتی، “بالا” گزارش شده است. اطلاعات بیشتر در لینک زیر:

https://www.mozilla.org/en-US/security/advisories/

ادوبی

در ماهی که گذشت شرکت ادوبی (Adobe)، اقدام به ترمیم آسیب‌پذیری‌های مختلف در چندین محصول خود از جمله Acrobat / Reader نمود. شدت بعضی از این ضعف‌های امنیتی، “بحرانی” بوده و مهاجم را قادر به اجرای کد دلخواه بر روی سیستم قربانی، به‌صورت از راه دور می‌کند. جزییات کامل در لینک زیر:

https://helpx.adobe.com/uk/security/security-bulletin.html

اس‌ای‌پی

شرکت اس‌ای‌پی (SAP) در 25 دی، 14 توصیه‌نامه امنیتی در خصوص محصولات مختلف خود منتشر کرد. جزییات آسیب‌پذیری‌های بررسی‌شده که دو مورد از آنها “بحرانی” گزارش شده در توصیه‌نامه‌های مذکور در لینک زیر قابل دریافت است:

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2025.html

آسـیب‌پـذیـری‌هـای در حـال سـوءاسـتفـاده

در دی 1403، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به “فهرست آسیب‌پذیری‌های در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:

CVE-2024-50603                 Aviatrix Controllers OS Command Injection Vulnerability

CVE-2025-21335                 Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free Vulnerability

CVE-2025-21334                 Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free Vulnerability

CVE-2025-21333                 Microsoft Windows Hyper-V NT Kernel Integration VSP Heap-based Buffer Overflow Vulnerability

CVE-2024-55591                 Fortinet FortiOS Authorization Bypass Vulnerability

CVE-2023-48365                 Qlik Sense HTTP Tunneling Vulnerability

CVE-2024-12686                 BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection Vulnerability

CVE-2025-0282   Ivanti Connect Secure, Policy Secure, and ZTA Gateways Stack-Based Buffer Overflow Vulnerability

CVE-2020-2883   Oracle WebLogic Server Unspecified Vulnerability

CVE-2024-55550                 Mitel MiCollab Path Traversal Vulnerability

CVE-2024-41713                 Mitel MiCollab Path Traversal Vulnerability

CVE-2024-3393   Palo Alto Networks PAN-OS Malicious DNS Packet Vulnerability

CVE-2021-44207                 Acclaim Systems USAHERDS Use of Hard-Coded Credentials Vulnerability

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

همچنین هشدارهای امنیتی منتشرشده از سوی CISA در خصوص برخی سامانه‌های کنترل صنعتی (ICS) در لینک زیر قابل مطالعه است:

https://www.cisa.gov/news-events/cybersecurity-advisories?f%5B0%5D=advisory_type%3A95&f%5B1%5D=advisory_type%3A96&f%5B2%5D=advisory_type%3A97&search_api_fulltext=&sort_by=field_release_date