CVE-2025-10540

چکیده

آسیب‌پذیری در نرم‌افزار iMonitor EAM نسخه 9.6394، به دلیل انتقال ترافیک بین ایجنت (agent) کلاینت EAM و سرور و همچنین بین نرم‌افزار مدیریت مانیتور و سرور، به صورت متن ساده (plaintext) و بدون احراز هویت یا رمزنگاری است که امکان افشا و دستکاری داده‌های حساس را فراهم می‌کند. مهاجم با دسترسی شبکه‌ای می‌تواند اطلاعات حساس مانند اعتبارنامه‌ها، داده‌های کی‌لاگر (keylogger data) و اطلاعات شخصی را رهگیری کرده و ترافیک را تغییر دهد.

توضیحات

آسیب‌پذیری CVE-2025-10540 در نرم‌افزار نظارت بر فعالیت کارکنان iMonitor EAM ، ناشی از انتقال ترافیک به صورت متن ساده بدون احراز هویت یا رمزنگاری است که مطابق با CWE-319 (انتقال متن ساده اطلاعات حساس) طبقه‌بندی می‌شود. این ضعف در نسخه 9.6394 وجود دارد و ترافیک بین ایجنت کلاینت EAM و سرور EAM و همچنین بین نرم‌افزار مدیریت مانیتور و سرور را تحت تأثیر قرار می‌دهد.

این ارتباطات شامل داده‌های بسیار حساس مانند تاریخچه کی‌لاگر است که می‌تواند حاوی اطلاعات شخصی قابل شناسایی (PII)، رمزعبور و سایر داده‌های محرمانه باشد. مهاجم با دسترسی به ترافیک شبکه می‌تواند این داده‌ها را رهگیری کند و منجر به نقض محرمانگی شود. علاوه بر این، چون ترافیک اصلاً تضمین یکپارچگی ندارد، مهاجم می‌تواند بسته‌ها را تغییر دهد و ترافیک فرمان و کنترل (command-and-control)را دستکاری کند؛ به‌عنوان مثال می‌توان دستورات دلخواه، از جمله اجرای برنامه‌ها را به ایجنت ها ارسال نمود و این به معنای تهدید یکپارچگی و احتمالاً امنیت کلی اندپوینت ها است.

این آسیب‌پذیری از طریق شبکه با پیچیدگی پایین، بدون نیاز به سطح دسترسی و تعامل کاربر قابل بهره‌برداری است. کد اثبات مفهومی (PoC) نشان می‌دهد که با استفاده از ابزارهای رایج ضبط ترافیک شبکه مانند Wireshark، امکان شنود ارتباطات بین سرور و ایجنت های کلاینت وجود داشته و داده‌ها به‌صورت متن ساده منتقل می‌شوند. این داده ها شامل اطلاعات حساس مانند رمزعبور و داده‌های کی‌لاگر است. به بیان دیگر، مهاجم بدون نیاز به احراز هویت می‌تواند این داده‌ها را مشاهده کرده و در صورت دستکاری بسته‌ها، فرمان‌های دلخواه را به ایجنت ها ارسال کند. تاکنون پچ رسمی منتشر نشده و توسعه دهنده به اطلاع رسانی اولیه پاسخی نداده است.

CVSS

 لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که employee activity monitoring را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری در iMonitor EAM به دلیل ارتباطات بدون رمزنگاری و احراز هویت، تهدیدی جدی برای افشای داده‌های حساس و دستکاری ترافیک ایجاد می‌کند. این ضعف می‌تواند منجر به سرقت اطلاعات شخصی، نقض حریم خصوصی کارکنان یا اجرای دستورات مخرب روی سیستم‌های کلاینت شود. با توجه به عدم انتشار پچ رسمی، اجرای فوری اقدامات زیر برای کاهش ریسک ضروری است:

• رمزنگاری ترافیک: از VPN یا تونل‌های امن برای رمزنگاری ارتباطات بین ایجنت‌ها و سرور استفاده کنید تا امکان رهگیری از بین برود.
• ایزوله‌سازی شبکه: سرور EAM و ایجنت‌ها را در شبکه‌های جداگانه (segmented networks) قرار دهید، دسترسی را با فایروال محدود کنید و تنها به IPهای اجازه عبور از ترافیک بدهید.
• نظارت بر ترافیک: از ابزارهایی مانند Wireshark یا IDS/IPS برای نظارت بر ترافیک شبکه و شناسایی رهگیری یا دستکاری مشکوک بهره ببرید.
• تغییر اعتبارنامه‌ها: رمز عبورهای پیش‌فرض را تغییر دهید و از احراز هویت دو مرحله‌ای (2FA) برای دسترسی به سرور استفاده کنید.
• غیرفعال‌سازی ویژگی‌های حساس: تا زمان انتشار پچ، قابلیت‌های کی‌لاگر و نظارت را غیرفعال یا محدود کنید و تنها داده‌های ضروری را منتقل نمایید.
• جایگزینی نرم‌افزار: نرم‌افزار را با راهکارهای نظارت امن‌تر و رمزنگاری‌شده جایگزین کنید.
• آموزش و آگاهی: کارکنان و مدیران IT را در مورد ریسک‌های انتقال متن ساده و اهمیت امنیت شبکه آموزش دهید.

اجرای این توصیه‌ها ریسک افشای و دستکاری داده‌ها را به حداقل رسانده و امنیت محیط‌های نظارت بر کارکنان را تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

آسیب‌پذیری انتقال متن‌ساده بین ایجنت‌ها و سرور امکان ورود اولیه شبکه‌ای را فراهم می‌کند؛ مهاجم با قرار گرفتن در مسیر شبکه مانند ARP spoofing، کنترل نقطه دسترسی یا آسیب‌پذیری در شبکه‌های وای‌فای/سوییچ‌های غیرایزوله می‌تواند بدون نیاز به اعتبارنامه، کانال ارتباطی را شنود یا تغییر دهد و نقطه‌ای برای آغاز زنجیره نفوذ ایجاد کند.

Persistence (TA0003)

پس از دستیابی به کانال مدیریتی ایجنت، مهاجم می‌تواند تنظیمات پایداری مثل افزودن سرویس‌های راه‌انداز، ثبت کرون‌تسک یا تغییر مکانیزم‌های بازیابی را اعمال کند تا دسترسی بلندمدت و بازگشت‌پذیر فراهم شود.

Privilege Escalation (TA0004)

شنود و استخراج اطلاعات اعتبارنامه‌های مدیریتی یا توکن‌های سیستمی از ترافیک plaintext می‌تواند به مهاجم امکان ارتقای سطح دسترسی از کاربر محلی به حقوق مدیریتی یا سرویس-به-سرویس را بدهد.

Credential Access (TA0006)

کانال ناامن اجازه می‌دهد اطلاعات حساس شامل نام‌کاربری، رمزعبور و توکن‌ها به‌صورت واضح استخراج شوند؛ این افشای مستقیم اعتبارنامه‌ها منبع اولیه برای حملات بعدی و سوء‌استفاده از سرویس‌ها است.

Discovery (TA0007)

دسترسی به رابط مدیریتی یا شنود ترافیک امکان فهرست‌برداری از دارایی‌ها، فهرست فرایندهای اجراشده، پورت‌ها و سرویس‌های متصل را می‌دهد که برای طراحی حرکت‌های جانبی و اهداف بعدی حیاتی است.

Lateral Movement (TA0008)

با استفاده از اعتبارنامه‌ها یا سرویس‌های داخلی کشف‌شده، مهاجم می‌تواند از طریق پروتکل‌ها و APIهای داخلی به سیستم‌های دیگر شبکه حرکت کند و سطح دسترسی خود را گسترش دهد.

Collection (TA0009)

این ضعف مستقیماً به جمع‌آوری داده‌های حساس از جمله لاگ‌های کی‌لاگر، داده‌های PII و فایل‌های حساس منجر می‌شود؛ مهاجم می‌تواند جریان‌های داده را فیلتر و ذخیره کند تا محتوای موردنظر را استخراج نماید.

Impact (TA0040)

نتایج بالقوه شامل افشای گسترده اطلاعات، تغییر پیکربندی‌های امنیتی و در بدترین حالت اخلال یا تخریب عملکرد سرویس‌های سازمانی است؛ پیامدها در محرمانگی، یکپارچگی و دسترس‌پذیری جدی و فوری هستند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-10540
2. https://www.cvedetails.com/cve/CVE-2025-10540/
3. https://r.sec-consult.com/imonitor
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10540
5. https://vuldb.com/?id.325853
6. https://nvd.nist.gov/vuln/detail/CVE-2025-10540
7. https://cwe.mitre.org/data/definitions/319.html