خانه » CVE-2025-20363
هشدار‌های سایبری

CVE-2025-20363

Cisco ASA, FTD, IOS, IOS XE, IOS XR Web Services Remote Code Execution Vulnerability via Improper HTTP Input Validation

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 6 بازدید
هشدار سایبری CVE-2025-20363
  • شناسه CVE-2025-20363 :CVE
  • CWE-122 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 25, 2025
  • به روز شده: سپتامبر 25, 2025
  • امتیاز: 9.0
  • نوع حمله: Heap Overflow
  • اثر گذاری: Arbitrary code execution(ACE)
  • حوزه: تجهیزات شبکه و امنیت
  • برند: Cisco
  • محصول: IOS
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در سرویس‌های وب محصولات سیسکو شامل Cisco ASA ، Cisco FTD، IOS، IOS XE و IOS XR ناشی از ضعف در اعتبارسنجی ورودی‌های HTTP است. این ضعف امنیتی به مهاجم بدون احراز هویت (برای ASA و FTD) یا با سطح دسترسی پایین (برای IOS، IOS XE و IOS XR) امکان اجرای کد دلخواه به‌عنوان کاربر root و کنترل کامل دستگاه را می‌دهد.

توضیحات

آسیب‌پذیری CVE-2025-20363 در سرویس‌های وب محصولات سیسکو، ناشی از سرریز بافر مبتنی بر هیپ مطابق با CWE-122 است که به دلیل اعتبارسنجی ناکافی ورودی‌های درخواست HTTP رخ می دهد.

این ضعف به مهاجم اجازه می‌دهد با ارسال درخواست‌های HTTP دستکاری‌شده، پس از کسب اطلاعات اضافی درباره سیستم یا دور زدن مکانیزم‌های کاهش ریسک، کد دلخواه را به‌عنوان کاربر root اجرا کند. مهاجم بدون احراز هویت در محصولات فایروال سیسکو ASA و FTD می‌تواند از راه دور با ارسال درخواست HTTP مخرب به سرویس وب آسیب‌پذیر، حمله را اجرا کند. مهاجم با دسترسی پایین در IOS، IOS XE و IOS XR می‌تواند با استفاده از اعتبارنامه‌های معتبر و ارسال درخواست HTTP مخرب، کد دلخواه را اجرا کند. ضمن اینکه، برای برخی پیکربندی‌ها مثلاً فعال بودن Remote Access SSL VPN در IOS/IOS XE یا روشن بودن HTTP server در IOS XR 32-bit دستگاه‌ها را در معرض ریسک بیشتری قرار می‌دهد. پیامدهای آسیب پذیری شامل نقض کامل محرمانگی، یکپارچگی و در دسترس‌پذیری است که می‌تواند منجر به کنترل کامل دستگاه شود.

بهره‌برداری ممکن است نیازمند اطلاعات اضافی یا کنار زدن برخی حفاظت‌ها باشد، اما از نظر فنی قابل خودکارسازی با اسکریپت‌ها یا ابزار شبکه‌ای است. سیسکو این آسیب پذیری را با انتشار به‌روزرسانی‌های نرم‌افزاری پچ کرده است.

CVSS

Score Severity Version Vector String
9.0 CRITICAL 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

 لیست محصولات آسیب پذیر

Versions Product
Affects multiple Cisco products. For exact affected versions, use Cisco Software Checker or refer to the official Cisco security advisory. Cisco ASA, FTD, IOS, IOS XE, IOS XR

لیست محصولات بروز شده

Versions Product
Refer to Cisco Software Checker Cisco ASA, FTD, IOS, IOS XE, IOS XR

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Cisco IOS Software، Cisco IOS XE، Cisco ASA، Cisco FTD و Cisco IOS XR را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
6,470 site:.ir “Cisco IOS Software” Cisco IOS Software
2,790 site:.ir “Cisco IOS XE Software” Cisco IOS XE Software
15,300 site:.ir “Cisco ASA” Cisco ASA
336 site:.ir “Cisco FTD” Cisco FTD
2,770 site:.ir “Cisco IOS XR” Cisco IOS XR

 نتیجه گیری

این آسیب‌پذیری بحرانی در سرویس‌های وب محصولات Cisco امکان اجرای کد دلخواه به‌عنوان کاربر root را فراهم می‌کند و نیاز به اقدام فوری دارد. اقدامات زیر برای کاهش ریسک و افزایش امنیت ضروری است:

  • به‌روزرسانی فوری: دستگاه‌ها را به نسخه‌های امن مشخص‌شده در Cisco Software Checker به روزرسانی کرده و به‌روزرسانی‌ها را از وب‌سایت رسمی سیسکو یا پورتال پشتیبانی دانلود کنید.
  • محدودسازی دسترسی: دسترسی به سرویس‌های وب مانند SSL VPN یا HTTP را با استفاده از ACL، فایروال یا محدود کردن به آدرس‌های IP مجاز کنترل و محدود کنید.
  • غیرفعال‌سازی ویژگی‌های غیرضروری: ویژگی‌های آسیب‌پذیر مانند MUS، AnyConnect SSL VPN یا HTTP سرور را در صورت عدم نیاز غیرفعال کنید (مثلاً با حذف webvpn یا http server از تنظیمات).
  • نظارت و ثبت لاگ: ترافیک HTTP و لاگ‌های دسترسی به سرویس‌های وب را نظارت کرده و از ابزارهای SIEM برای تشخیص فعالیت‌های مشکوک استفاده کنید.
  • ایزوله‌سازی محیط: دستگاه‌ها را در شبکه‌های جداگانه اجرا کرده و از VPN یا IPsec برای دسترسی مدیریتی استفاده کنید.
  • تست و اسکن امنیتی: سیستم را با ابزارهای اسکن آسیب‌پذیری (مانند Nessus یا Qualys) بررسی کنید و تست نفوذ برای سرویس‌های وب انجام دهید.
  • آموزش کاربران: مدیران را در مورد ریسک پیکربندی نادرست سرویس‌های وب و اهمیت به‌روزرسانی‌ها آموزش دهید.

اجرای این اقدامات، ریسک ناشی از این آسیب پذیری را کاهش داده و امنیت محصولات سیسکو را بهبود می‌بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم می‌تواند از طریق ارسال درخواست HTTP دستکاری‌شده به سرویس‌های وب آسیب‌پذیر، دسترسی اولیه به دستگاه‌های تحت تأثیر را به‌دست آورد. این دسترسی نیاز به احراز هویت ندارد

Execution (TA0002)

مهاجم می‌تواند با ارسال درخواست HTTP مخرب، کد دلخواه را اجرا کند و این کار به‌صورت از راه دور انجام می‌شود. در صورتی که مهاجم دارای دسترسی مدیریتی (privilege 15) باشد، می‌تواند کد دلخواه را به‌عنوان کاربر root اجرا کند.

Persistence (TA0003)

این آسیب‌پذیری به‌طور مستقیم منجر به حفظ دسترسی نمی‌شود، اما می‌تواند به مهاجم اجازه دهد که پس از موفقیت در اجرای کد، به کنترل کامل دستگاه دست یابد و اقدامات بعدی را برای حفظ دسترسی دائمی انجام دهد.

Privilege Escalation (TA0004)

این آسیب‌پذیری خود به خود دسترسی‌های بالاتر را فراهم نمی‌کند، اما اگر مهاجم دسترسی اولیه به سیستم را داشته باشد، می‌تواند با ارسال درخواست‌های دستکاری‌شده HTTP، دسترسی‌های بالاتری را مانند root به‌دست آورد.

Defense Evasion (TA0005)

با ارسال درخواست‌های HTTP دستکاری‌شده، مهاجم می‌تواند از مکانیزم‌های امنیتی موجود مانند فایروال‌ها یا ACLها عبور کرده و حملات خود را از دید سیستم‌های نظارتی پنهان کند.

Lateral Movement (TA0008)
مهاجم می‌تواند پس از موفقیت در دسترسی به یک دستگاه تحت تأثیر، حرکت جانبی به سایر دستگاه‌های موجود در شبکه انجام دهد. این حرکت ممکن است به‌واسطه شبیه‌سازی ترافیک HTTP مخرب یا استفاده از دیگر آسیب‌پذیری‌های موجود در شبکه انجام شود. این‌گونه مهاجم می‌تواند حملات خود را در شبکه گسترش دهد.

Collection (TA0009)
مهاجم می‌تواند از کد دلخواه اجرا شده برای جمع‌آوری اطلاعات حساس از سیستم تحت حمله استفاده کند. این اطلاعات ممکن است شامل داده‌های حساس، لاگ‌های سرور، یا اطلاعات دیگر باشد که در ادامه برای مقاصد مختلف استفاده خواهد شد، از جمله فروش داده‌های حساسی که ممکن است به‌دست آید.

Exfiltration (TA0010)
پس از جمع‌آوری داده‌ها، مهاجم ممکن است آنها را از طریق درخواست‌های HTTP مخرب یا روش‌های دیگر از سیستم‌های تحت تأثیر خارج کند. این اقدام ممکن است از طریق تکنیک‌های مختلف، مانند انتقال داده‌های حساس به سرورهای کنترل شده توسط مهاجم انجام گیرد.

Impact (TA0040)

این آسیب‌پذیری می‌تواند منجر به کنترل کامل دستگاه‌ها توسط مهاجم شود، که باعث از دست دادن کامل محرمانگی، یکپارچگی و در دسترس‌پذیری می‌شود. به‌طور خاص، می‌تواند منجر به آسیب‌پذیری کامل دستگاه‌ها و اجرای کد دلخواه به‌عنوان کاربر root شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-20363
  2. https://www.cvedetails.com/cve/CVE-2025-20363/
  3. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20363
  5. https://vuldb.com/?id.325889
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-20363
  7. https://cwe.mitre.org/data/definitions/122.html

همچنین ممکن است دوست داشته باشید

CVE-2025-20312

CVE-2025-20352

CVE-2025-20160

CVE-2025-20088

CVE-2025-20621

CVE-2025-20356

CVE-2025-20926

CVE-2025-20371

CVE-2025-20367

CVE-2025-20357

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×