خانه » CVE-2025-1292
هشدار‌های سایبری

CVE-2025-1292

TPM2 Out-Of-Bounds Write Leading To Potential Operating System Verification Bypass In ChromeOS

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 1 بازدید
هشدار سایبری CVE-2025-1292
  • شناسه CVE-2025-1292 :CVE
  • CWE-787 :CWE
  • yes :Advisory
  • منتشر شده: آوریل 15, 2025
  • به روز شده: آوریل 15, 2025
  • امتیاز: 6.7
  • نوع حمله: Out-of-bounds write
  • اثر گذاری: OS Verification Bypass
  • حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
  • برند: Google
  • محصول: ChromeOS
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری نوشتن خارج از محدوده (Out-of-Bounds Write) در کتابخانه مرجع TPM2 در ChromeOS نسخه 122.0.6261.13 روی بردهای Cr50 وجود دارد که به مهاجمی با دسترسی root اجازه می‌دهد از طریق بهره‌برداری از عملکرد NV_Read در فرآیند Challenge‑Response، وضعیت پایداری (persistence) روی دستگاه برقرار کند و مکانیزم تأیید بوت سیستم‌عامل (OS verification / verified boot) را دور بزند. به این معنا که مهاجم در صورت بهره‌برداری موفق می‌تواند فریم ور یا تنظیمات محافظتی را تغییر دهد و کنترل بلندمدت روی دستگاه به دست آورد.

توضیحات

آسیب‌پذیری CVE-2025-1292 در کتابخانه مرجع TPM2 (Trusted Platform Module 2.0، ماژول امنیتی سخت‌افزاری برای رمزنگاری و تأیید یکپارچگی) در ChromeOS 122.0.6261.132 روی بردهای Cr50 (سخت‌افزار امنیتی کروم‌بوک‌ها)، ناشی از نوشتن خارج از محدوده است و مطابق باCWE-787 طبقه‌بندی می‌شود.

این ضعف از طریق بهره‌برداری از عملکرد NV_Read در فرآیند Challenge-Response قابل سوءاستفاده است. مهاجم با دسترسی root می‌تواند فضای NVRAM (Non-Volatile RAM، حافظه دائمی برای ذخیره کلیدها و گواهینامه‌ها) بزرگ‌تر از 1024 بایت ایجاد کند و سپس درخواست خواندن بیش از 1024 بایت ارسال نماید. بافر خروجی NV_Read_Out با اندازه ثابت 1024 بایت در پشته (stack) تخصیص می‌یابد، اما بررسی اندازه در NvGetIndexData انجام نمی‌شود که این موضوع منجر به سرریز پشته و بازنویسی کد احراز RMA (Return Merchandise Authorization، فرآیند بازیابی کارخانه) می‌گردد.

با بهره‌برداری از این آسیب‌پذیری، مهاجم می‌تواند Write-Protect را غیرفعال کند، حالت کارخانه (factory mode) را فعال نماید و Verified Boot (بوت امن) را دور بزند. در نتیجه امکان نصب فریم ور مخرب، سرقت کلیدهای رمزنگاری و دستیابی به پایداری کامل (full persistence) روی دستگاه فراهم می‌شود.

کد اثبات مفهومی (PoC) به صورت عمومی منتشر نشده و تنها برای تیم های داخلی گوگل و محقق آسیب پذیری در دسترس است. این آسیب‌پذیری در نسخه 1.38 از کتابخانه TPM2 و همچنین در کرنل Cr50 نسخه 0.5.230 با اضافه کردن بررسی اندازه بافرها (bounds check) پچ شده است.

CVSS

Score Severity Version Vector String
6.7 MEDIUM 3.1 CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

 لیست محصولات آسیب پذیر

Versions Product
affected at 122.0.6261.132 ChromeOS

لیست محصولات بروز شده

Versions Product
Fixed in TPM2 library v1.38 and Cr50 firmware v0.5.230. ChromeOS

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که ChromeOS را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Produc
43,200 site:.ir “ChromeOS” ChromeOS

 نتیجه گیری

این آسیب‌پذیری با شدت متوسط در کتابخانه TPM2 سیستم‌عامل ChromeOS امکان دور زدن تأیید بوت امن (verified boot) و برقراری پایداری دائمی (full persistence) برای مهاجم را فراهم می‌کند.. اقدامات زیر برای کاهش ریسک و حفاظت ضروری است:

  • به‌روزرسانی فوری: ChromeOS را به نسخه‌ای که شامل پچ کرنل cr50 0.5.230 یا بالاتر است به‌روزرسانی کنید (Settings > About ChromeOS > Check for updates) و تنها از منابع رسمی گوگل فایل‌ها را دانلود نمایید.
  • راهکار کاهش ریسک (Mitigation): دسترسی root را با استفاده از sudo محدود کرده، از فعال‌کردن حالت توسعه‌دهنده (Developer Mode) پرهیز کنید و تأیید بوت امن (verified boot) را فعال نگه دارید (مثلاً با crossystem wpsw_boot=1). دسترسی به ابزارهایی که می‌توانند دستورات خام TPM ارسال کنند (مثل tpm_manager_client) را محدود کنید.
  • محدودسازی دسترسی: دستگاه‌های /dev/tpm را با سامانه‌های کنترل دسترسی اجباری مانند SELinux یا AppArmor (Mandatory Access Control) محافظت کنید و دسترسی به NVRAM را تنها به فرآیندهای مجاز محدود نمایید.
  • نظارت و ثبت لاگ: لاگ‌های مربوط به TPM را با دستور journalctl -u tpm بررسی کرده و رخدادهای Cr50 را مانیتور کنید؛ از راهکارهای EDR یا ابزارهایی مثل OSQuery برای شناسایی فراخوانی‌های مشکوک NV_Read استفاده کنید.
  • ایزوله‌سازی محیط: کروم‌بوک‌ها را در VLANهای جداگانه قرار دهید و از Google Workspace Enterprise برای مدیریت و کنترل به‌روزرسانی فریم ور استفاده کنید.
  • اسکن و تست امنیتی: از ChromeOS Vulnerability Scanner و ابزارهای TPM مانند tpm2-tools برای اسکن استفاده کنید و تست نفوذ روی عملیات NVRAM اجرا نمایید.
  • آموزش کاربران: مدیران و تیم‌های IT را در مورد ریسک فعال‌سازی Developer Mode، اهمیت verified boot و ریسک اجرای اسکریپت‌ها یا بسته‌های ناشناخته آموزش دهید.

اجرای این اقدامات ریسک پایداری مهاجم و دور زدن تایید بوت سیستم عامل را به طور چشمگیری کاهش داده و امنیت کروم‌بوک‌های سازمانی را تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
آسیب‌پذیری در عملکرد NV_Read که از طریق ایجاد NV index بزرگ‌تر از 1024 بایت و ارسال درخواست خواندن بیش از حد قابل تحریک است، به‌عنوان نقطه ورود عمل می‌کند؛ مهاجم نیازمند دسترسی محلی با امتیازات بالا (root) است اما پس از حصول آن می‌تواند کنترل روی فضای NVRAM کسب کند.

Credential Access (TA0006)
دسترسی به NVRAM و امکان بازنویسی یا خواندن مقادیر حساس می‌تواند منجر به افشای کلیدها و گواهینامه‌های ذخیره‌شده شود و مهاجم را قادر سازد تا اعتبارنامه‌های دستگاه را بدست آورد یا جعل کند.

Discovery (TA0007)
بهره‌بردار موفق می‌تواند با ابزارهای محلی فراخوانی‌های TPM و خواندن NVRAM، اطلاعات ساختار NV indexها و پارامترهای سیستم را کشف کند که به شناسایی اهداف بالقوه برای تغییر وضعیت بوت کمک می‌کند.

Privilege Escalation (TA0004)
اگر مهاجم دسترسی root داشته باشد، این آسیب‌پذیری می‌تواند برای تضعیف سازوکارهای حفاظتی مثل Write‑Protect و Verified Boot و افزایش ماندگاری دسترسی استفاده شود؛ به‌عبارت دیگر، امکان escalation داخلی به سطح سیستم /firmware وجود دارد.

Collection (TA0009)
پس از نفوذ، مهاجم می‌تواند مقادیر حساس TPM/NVRAM (کلیدها، متادیتا) را جمع‌آوری کند که برای حملات بعدی یا حفظ پایداری استفاده خواهد شد.

Exfiltration (TA0010)
جمع‌آوری کلیدها یا داده‌های حساس که از NVRAM بیرون کشیده شوند می‌تواند به افشای اطلاعات منجر گردد؛ مسیرهای انتقال ممکن است از طریق دسترسی محلی یا ابزارهای مدیریتی سوءاستفاده‌شده باشد.

Defense Evasion (TA0005)
با توانایی تغییر حالت‌های محافظتی Cr50 و غیرفعال‌سازی Write‑Protect یا فعال‌سازی factory mode ، مهاجم می‌تواند مکانیزم‌های بررسی بوت و لاگینگ را تضعیف کند تا فعالیت‌های خود را پنهان نگه دارد.

Impact (TA0040)
اثرات فنی این نقص شامل تضعیف Verified Boot، نصب فریم‌ور مخرب، سرقت کلیدهای رمزنگاری و امکان پایداری سطح سیستم (system‑level persistence) است که به مخاطرات بلندمدت برای محرمانگی، یکپارچگی و در دسترس‌پذیری منجر می‌شود؛ این وضعیت می‌تواند زیرساخت‌های سازمانی را در معرض نفوذ مداوم و دسترسی به داده‌ها و سرویس‌های حیاتی قرار دهد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-1292
  2. https://www.cvedetails.com/cve/CVE-2025-1292/
  3. https://issuetracker.google.com/issues/324336238
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1292
  5. https://vuldb.com/?id.304836
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-1292
  7. https://cwe.mitre.org/data/definitions/787.html

همچنین ممکن است دوست داشته باشید

CVE-2025-23356

CVE-2025-1298

CVE-2025-1277

CVE-2025-1276

CVE-2025-1244

CVE-2025-20315

CVE-2025-20312

CVE-2025-20363

CVE-2025-20352

CVE-2025-20160

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×