CVE-2025-10495

چکیده

آسیب‌پذیری اعتبارسنجی نادرست گواهی دیجیتال (Improper Certificate Validation) در چهار برنامه اصلی لنوو شامل PC Manager، App Store، Lenovo Browser و Legion Zone شناسایی شده است. این ضعف باعث می‌شود مهاجمی که در همان شبکه منطقی قرار دارد، تحت شرایط خاص بتواند ارتباطات برنامه را دچار اختلال کرده و در نتیجه امکان اجرای کد دلخواه روی دستگاه قربانی را به دست آورد.

توضیحات

آسیب‌پذیری CVE‑2025‑10495 در چهار برنامه اختصاصی لنوو شامل PC Manager، App Store، Browser و Legion Zone ناشی از اعتبارسنجی نادرست گواهی دیجیتال مطابق با CWE‑295 است. در برخی نسخه‌های آسیب پذیر، این برنامه‌ها هنگام برقراری ارتباط با سرورهای لنوو، فرایند بررسی گواهی دیجیتال را به‌درستی انجام نمی‌دهند؛ به‌طوری‌که در شرایط خاص ممکن است یک گواهی نامعتبر یا غیرقابل‌اعتماد را معتبر تشخیص دهند و ارتباط را ادامه دهند.

این ضعف در سناریوهایی قابل بهره‌برداری است که مهاجم در همان شبکه منطقی (logical network) حضور داشته باشد. در چنین وضعیتی، مهاجم می‌تواند کانال ارتباطی برنامه با سرور مقصد را تحت تأثیر قرار داده و با سوءاستفاده از ضعف در اعتبارسنجی گواهی، برنامه را به پذیرش داده‌های دستکاری‌شده وادار کند. پیامد مستقیم این وضعیت، اجرای کد دلخواه (ACE) روی سیستم قربانی است.

این آسیب‌پذیری طیف گسترده‌ای از دستگاه‌های لنوو شامل دسکتاپ‌ها، لپ‌تاپ‌ها و محصولات سری ThinkPad را تحت تأثیر قرار می‌دهد و لنوو شدت آن را بالا ارزیابی کرده است.

این ضعف امنیتی پیامدهای قابل توجهی دارد. از نظر محرمانگی می‌تواند منجر به افشای داده‌ها و سرقت اطلاعات کاربری شود، از نظر یکپارچگی امکان تزریق یا نصب بدافزارهای پایدار را فراهم می‌کند و از نظر دسترس‌پذیری نیز اجرای کد مخرب می‌تواند موجب اختلال جدی، کرش سیستم یا حتی اجرای باج‌افزار شود. این ضعف تنها زمانی فعال می‌شود که قربانی و مهاجم در یک شبکه منطقی (مثلاً یک Wi-Fi) باشند و یکی از برنامه ‌های لنوو نصب شده باشد. لنوو با انتشار نسخه‌های جدید این ضعف را به‌طور کامل پچ کرده است و نسخه‌های پچ‌شده اکنون گواهی‌های دیجیتال را به‌درستی اعتبارسنجی و پین می‌کنند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Lenovo را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در چهار برنامه اصلی لنوو، برای مهاجمی که در همان شبکه منطقی قرار دارد امکان اجرای کد دلخواه را فراهم می‌کند و دستگاه‌های لنوو اعم از لپ‌تاپ و دسکتاپ را در شبکه‌های عمومی، سازمانی و دانشگاهی در معرض ریسک جدی قرار می‌دهد. با توجه به انتشار به‌روزرسانی، اجرای فوری اقدامات زیر توصیه می‌شود:

• به‌روزرسانی فوری تمام برنامه‌ها: فوراً برنامه‌های لنوو شامل App Store را به نسخه 9.0.2530.1027، PC Manager به نسخه5.1.140.9262 ، Browser به نسخه 9.0.6.9111 و Legion Zone را به2.0.21 به روزرسانی کنید. به‌روزرسانی از داخل خود برنامه یا از طریق Lenovo Vantage قابل انجام است. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• غیرفعال‌سازی موقت برنامه‌ها در شبکه‌های ناامن: در شبکه‌های Wi‑Fi عمومی مانند هتل، فرودگاه یا کافی‌شاپ، برنامه‌های لنوو را موقتاً غیرفعال کنید یا از اتصال آن‌ها جلوگیری کنید. استفاده از VPN در این شرایط توصیه می‌شود.
• استفاده از VPN دائمی: ترافیک دستگاه را از طریق VPN امن (OpenVPN، WireGuard یا VPN سازمانی) تونل کنید تا احتمال سوءاستفاده در شبکه‌های اشتراکی کاهش یابد.
• محدودسازی شبکه: با استفاده از NAC یا 802.1X از اتصال دستگاه‌های ناشناس جلوگیری کرده و پورت‌ها و سرویس‌های مرتبط با مدیریت لنوو را در فایروال محدود کنید.
• نظارت بر روند به‌روزرسانی: با استفاده از ابزارهای مدیریت پچ مانند WSUS، Intune یا Lenovo Vantage Enterprise اطمینان حاصل کنید تمام سیستم‌های لنوو به نسخه‌های امن به روزرسانی شده اند.
• حذف برنامه‌های غیرضروری: در محیط‌های سازمانی، در صورت عدم نیاز، برنامه‌های Lenovo App Store و Legion Zone را از طریق سیاست گروهی (Group Policy) یا ابزار مدیریت یکپارچه دستگاه‌ها مانند Intune حذف کنید.

اجرای این اقدامات، به ویژه به روزرسانی، ریسک ناشی از این آسیب پذیری را به حداقل رسانده و امنیت دستگاه های لنوو را تضمین می کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

ورود مهاجم از طریق شبکه‌ در معرض شنود یا نقاط Wi-Fi ناامن انجام می‌شود؛ مهاجم با قرارگرفتن بین اپلیکیشن‌های لنوو و سرورهای رسمی، جریان TLS را رهگیری کرده و بدون نیاز به احراز هویت اولیه، ترافیک را به مسیر دلخواه هدایت می‌کند. نقطه‌ورود واقعی، سادگی ایجاد یک کانال MITM به‌خاطر اعتبارسنجی ناقص گواهی است.

Credential Access (TA0006)

به‌دلیل MITM ، مهاجم می‌تواند توکن‌های نشست، شناسه کاربر، یا اطلاعات احراز هویت ضعیف را از جریان ترافیک استخراج کند.

Collection (TA0009)

کلیه داده‌های ارسال‌شده توسط اپلیکیشن—از اطلاعات کاربری تا متادیتای دستگاه—در جریان MITM قابل جمع‌آوری است. مهاجم ترافیک را به‌صورت Real-time شنود کرده و بسته‌های حیاتی را ذخیره می‌کند.

Exfiltration (TA0010)

مهاجم می‌تواند داده‌هایی که از طریق MITM جمع شده را به‌صورت پایدار به سرورهای خارجی منتقل کند.

Defense Evasion (TA0005)

تزریق گواهی جعلی یا پروکسی شفاف باعث می‌شود کلاینت هیچ هشدار امنیتی ارائه ندهد و حمله کاملاً بی‌صدا اجرا شود. مهاجم می‌تواند از گواهی‌های محلی یا CA های آلوده استفاده کند تا زنجیره اعتماد جعلی ایجاد شود.

Lateral Movement (TA0008)

اگر مهاجم در شبکه داخلی سازمان قرار داشته باشد، همین نقطه‌ضعف می‌تواند سکوی حرکت جانبی شود.

Impact (TA0040)

نتیجه نهایی شامل جعل پاسخ‌های سرور، دستکاری به‌روزرسانی‌ها، افشای اطلاعات حساس، اختلال در عملکرد اپلیکیشن و امکان تزریق داده مخرب است. خطر اصلی، از دست رفتن یکپارچگی کانال ارتباطی و باز شدن مسیر برای حملات ثانویه است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-10495
2. https://www.cvedetails.com/cve/CVE-2025-10495/
3. https://iknow.lenovo.com.cn/detail/434328
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10495
5. https://vuldb.com/?id.332302
6. https://nvd.nist.gov/vuln/detail/CVE-2025-10495
7. https://cwe.mitre.org/data/definitions/295.html