- شناسه CVE-2025-10542 :CVE
- CWE-1392 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 25, 2025
- به روز شده: سپتامبر 25, 2025
- امتیاز: 9.8
- نوع حمله: Unknown
- اثر گذاری: Information Disclosure
- حوزه: مدیریت هویت و دسترسی
- برند: iMonitor Software Inc
- محصول: iMonitor EAM
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری بحرانی در iMonitor EAM نسخه 9.6394 ، به دلیل استفاده از اعتبار پیشفرض ناامن است که برای مهاجمان از راه دور امکان دسترسی کامل مدیریتی (full administrative access) را فراهم میکند. مهاجم با نام کاربری پیش فرض ‘admin’ و رمز عبور ضعیف سه رقمی (‘000’) می تواند وارد سرور EAM شده و کنترل کامل بر agentها و دادههای آنها از جمله خواندن خروجی keylogger و صدور دستورات دلخواه برای تمامی کلاینتهای متصل را بهدست آورد.
توضیحات
آسیبپذیری CVE-2025-10542 در iMonitor EAM، نرمافزار نظارت بر فعالیت کارکنان (Employee Activity Monitoring – EAM)، به دلیل استفاده از اعتبار پیشفرض ناامن است که مطابق با CWE-1392 طبقهبندی میشود.
پس از نصب سرور EAM، دسترسی به نرمافزار مدیریت با نام کاربری پیش فرض ‘admin’ و رمز عبور ضعیف ‘000’ محافظت میشود. این اعتبارهای پیشفرض در دیالوگ اتصال (connection dialog) نرمافزار مدیریت نمایش داده میشوند و بنابراین در صورت نادیده گرفتنِ تغییر آنها، مهاجم از راه دور میتواند با همین اعتبارنامهها به سرور متصل شده و کنترل کامل بر تمام agentهای تحت نظارت را بهدست آورد. استفاده مهاجم از این دسترسی شامل خواندن تلهمتری بسیار حساس از جمله خروجی keylogger که ممکن است شامل اطلاعات شخصی و رمزهای عبور باشد و صدور دستورات دلخواه روی کلاینتها مثل اجرای برنامهها یا تغییر تنظیمات است.
این آسیبپذیری از طریق شبکه با پیچیدگی پایین، بدون نیاز به احراز هویت یا تعامل کاربر قابل بهرهبرداری است. پیامدهای آن شامل نقض شدید محرمانگی با دسترسی به دادههای حساس کارکنان، یکپارچگی با صدور دستورات مخرب مانند اجرای برنامههای دلخواه روی کلاینتها و در دسترسپذیری با اختلال در نظارت یا سرور است. در نهایت میتواند منجر به نفوذ کامل به شبکه سازمانی و سرقت دادههای حساس (sensitive data theft) شود.
کد اثباتِ مفهومی (PoC) که در گزارش SEC Consult منتشر شده، نشان میدهد مهاجم میتواند با استفاده از اعتبارنامههای پیشفرض نمایشدادهشده در دیالوگ اتصال شامل نامکاربری admin و رمز 000، به سرور EAM وارد شود و فرمانهای دلخواه اجرا کند.
این فرمانها میتوانند شامل خواندن خروجی keylogger و کنترل کامل Agentها باشند. تاکنون پچی رسمی منتشر نشده و توسعه دهنده به اطلاعرسانی اولیه پاسخی نداده است.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 9.63.94 | iMonitor EAM |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که employee activity monitoring را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 4 | employee activity monitoring |
نتیجه گیری
این آسیبپذیری با شدت بحرانی در iMonitor EAM ،به دلیل اعتبار پیشفرض ناامن، تهدیدی بسیار جدی برای سازمانهایی است که از نرمافزار نظارت بر کارکنان استفاده میکنندکه میتواند منجر به دسترسی کامل مدیریتی، سرقت دادههای حساس یا صدور دستورات مخرب به agentهای نظارتشده شود. با توجه به عدم انتشارپچ رسمی اجرای فوری اقدامات زیر توصیه می شود:
- تغییر اعتبار پیشفرض: بلافاصله رمز عبور پیشفرض ‘000’ را به رمز قوی تغییر دهید و از احراز هویت چندعاملی (MFA) استفاده کنید.
- غیرفعالسازی یا جایگزینی: iMonitor EAM را غیرفعال کرده یا با نرمافزار نظارت امنتر جایگزین نمایید.
- نظارت بر لاگها: لاگهای اتصال سرور EAM را برای شناسایی تلاشهای ورود مشکوک بررسی کنید.
- محدودسازی دسترسی شبکه: دسترسی به سرور EAM را فقط مجاز به شبکه داخلی کرده و از فایروال برای مسدود کردن اتصالات خارجی استفاده نمایید.
- پشتیبانگیری و رمزنگاری: از دادههای نظارتشده نسخه پشتیبان تهیه کرده و مکانیزم رمزنگاری را برای انتقال دادهها فعال کنید.
- آموزش کاربران: مدیران IT را در مورد ریسک اعتبار پیشفرض و اهمیت تغییر فوری رمز عبور آگاه کنید.
اجرای این اقدامات، ریسک دسترسی غیرمجاز و سرقت داده را به حداقل رسانده و امنیت سیستمهای نظارت بر کارکنان را به طور قابل توجهی افزایش می دهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
آسیبپذیری اجازه ورود اولیه بدون احراز هویت از طریق استفاده یا سوءاستفاده از اعتبارنامههای پیشفرض را میدهد؛ در عمل مهاجم با استفاده از نامکاربری/رمز پیشفرض admin:000 به رابط مدیریت متصل میشود
Credential Access (TA0006)
بردار اصلیِ این ضعف سرقت یا استفاده از اعتبارهای پیشفرض است؛ مهاجم با استفاده از اعتبارهای نمایانشده در دیالوگ اتصال مستقیماً به حساب مدیریتی دسترسی مییابد
Discovery (TA0007)
پس از دسترسی، مهاجم میتواند ساختار شبکه، فهرست agentها، اطلاعات inventory و کانالهای ارتباطی را کشف کند تا اهداف حساس و مسیرهای حرکت بعدی را شناسایی نماید
Lateral Movement (TA0008)
دسترسی به کنسول مدیریتی امکان صدور دستورات به agentهای شبکهشده را فراهم میآورد که میتواند به اجرای فرمانهای از راه دور و حرکت جانبی در شبکه سازمان منجر شود
Collection (TA0009)
یکی از اثرات فنی مهم، دسترسی به خروجی keylogger و سایر تِلهمتریهای حسّاس است؛ مهاجم قادر است دادههای جلسه، کیاستروکها و اطلاعات محرمانه کارکنان را جمعآوری کند
Impact (TA0040)
پیامدهای فنی شامل نقض شدید محرمانگی دسترسی به keylogger و دادههای حساس، اختلال در یکپارچگی (صدور فرمانهای مخرب روی کلاینتها) و اختلال در دسترسپذیری (خاموشی یا اختلال سرویسهای مانیتورینگ) است؛ بنابراین Confidentiality, Integrity و Availability همگی در سطح بحرانی تحتتأثیر قرار میگیرند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-10542
- https://www.cvedetails.com/cve/CVE-2025-10542/
- https://r.sec-consult.com/imonitor
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10542
- https://vuldb.com/?id.325863
- https://nvd.nist.gov/vuln/detail/CVE-2025-10542
- https://cwe.mitre.org/data/definitions/1392.html
