CVE-2025-22254

چکیده

آسیب‌پذیری مدیریت نامناسب سطح دسترسی در ماژول Node.js websocket محصولات Fortinet شناسایی شده است. این آسیب پذیری به مهاجمان احراز هویت‌شده با سطح دسترسی حداقلی read-only admin اجازه می‌دهد با ارسال درخواست‌های دستکاری‌شده، سطح دسترسی خود را به super-admin افزایش دهند.

توضیحات

آسیب‌پذیری CVE-2025-22254 در ماژول Node.js websocket و رابط مدیریتی گرافیکی (GUI, Graphical User Interface) محصولات Fortinet شناسایی شده است و مطابق با CWE-269 طبقه‌بندی می‌گردد.

این ضعف زمانی فعال می‌شود که منطق پردازش درخواست‌های احراز هویت‌شده در ماژول WebSocket اجازه دورزدن محدودیت‌های سطح دسترسی را می‌دهد؛ به‌طوری‌که یک کاربر احراز هویت‌شده با سطح دسترسی حداقلی مثلاً read‑only admin می‌تواند با ارسال درخواست‌های WebSocket دستکاری‌شده، کنترل سطح دسترسی را دور بزند و سطح خود را به super‑admin افزایش دهد.

بهره‌برداری از این ضعف از راه دور و بدون نیاز به تعامل بیشتر کاربر قابل انجام است (شرط لازم، داشتن یک حساب احراز هویت‌شده در دستگاه است). مهاجم می‌تواند با اسکریپت‌های خودکار یا ابزارهای وب مثل فریم‌ورک‌های تست نفوذ، درخواست‌های WebSocket حاوی پیلود ویژه را ارسال کند تا روند مدیریت سطح دسترسی را فریب دهد؛ در برخی سناریوها ممکن است پیکربندی خاص GUI شرایط بهره‌برداری را تسهیل کند.

پیامدهای این آسیب‌پذیری شامل نقض محرمانگی با دسترسی به داده‌های حساس مانند کلیدهای رمزنگاری یا لاگ‌های امنیتی، یکپارچگی با تغییر تنظیمات سیستم یا نصب بدافزار و اختلال در در دسترس‌پذیری با امکان کرش GUI یا سرویس‌های وابسته است.

این آسیب‌پذیری محصولات مختلفی از Fortinet، شامل FortiOS (سیستم‌عامل فایروال)، FortiProxy (پروکسی امنیتی) و FortiWeb (فایروال وب) را تحت‌تأثیر قرار می‌دهد. Fortinet پچ‌های مربوطه را منتشر کرده است؛ بنابراین اقدام فوری برای اعمال به‌روزرسانی‌های امنیتی توصیه می‌شود.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Fortinet را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در ماژول WebSocket Node.js محصولات Fortinet، امکان دور زدن کنترل های مجوز را فراهم کرده و بدین ترتیب مهاجم احراز هویت شده با سطح دسترسی پایین می تواند سطح دسترسی خود را به super-admin افزایش دهد و امنیت رابط‌های مدیریتی را تهدید کند. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر ضروری است:

• به‌روزرسانی فوری: محصولات Fortinet را از طریق ابزار Upgrade Path (https://docs.fortinet.com/upgrade-tool) به نسخه‌های پچ‌شده به‌روزرسانی کنید. فایل‌های به‌روزرسانی را تنها از منابع رسمیFortinet دانلود نمایید.
• راهکارهای کاهش ریسک (Mitigations): از پچ مجازی (Virtual Patch) NodeJS.Websocket.Authentication.Bypass در FMWP db update 25.014 استفاده کنید، دسترسی به WebSocket GUI را با فایروال‌های داخلی محدود نمایید و درخواست‌های WebSocket crafted را با فایروال اپلیکیشن وب (WAF) مسدود کنید.
• محدودسازی دسترسی: احراز هویت دو مرحله‌ای (2FA) را برای کاربران ادمین فعال کنید، اصل حداقل دسترسی (Least Privilege) را اعمال نمایید و دسترسی به ماژول‌های js را با RBAC کنترل کنید.
• نظارت بر لاگ ها: لاگ‌های WebSocket و GUI را با ابزارهایی مانند FortiAnalyzer یا Splunk بررسی کنید و از سیستم‌های SIEM برای تشخیص درخواست‌های مشکوک مخرب استفاده نمایید.
• ایزوله‌سازی محیط: ماژول WebSocket Node.js را در کانتینرهای ایزوله مانند Docker اجرا کنید و دسترسی به GUI را با ابزارهای امنیتی مانند SELinux محدود نمایید.
• اسکن و تست امنیتی: محصولات را با ابزارهایی مانند FortiGuard Vulnerability Scanner یا Nessus اسکن کنید و تست‌های نفوذ روی سناریوهای WebSocket مخرب انجام دهید.
• آموزش: کاربران و مدیران را در مورد ریسک‌های مدیریت نامناسب سطح دسترسی در ماژول‌های WebSocket، اهمیت به‌روزرسانی‌های فریم‌ور و تشخیص درخواست‌های مشکوک آموزش دهید.
• نکته تکمیلی: در صورت امکان به‌روزرسانی به نسخه‌های جدیدتر یا جایگزینی ماژول js با پیاده‌سازی امن‌تر، ریسک بلندمدت به طور چشمگیری کاهش می‌یابد. اقدامات پیشرفته مانند ایزوله‌سازی ماژول در کانتینر ممکن است بسته به معماری محصول نیازمند تغییرات در سطح فریم‌ور باشند و به‌عنوان اقدامات بلندمدت در نظر گرفته شوند.

اجرای این اقدامات، ریسک افزایش سطح دسترسی را به حداقل رسانده و امنیت محصولات Fortinet را در برابر حملات احراز هویت‌شده تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
در این رویداد، مهاجم با حساب احراز هویت‌شده (read‑only admin) وارد محیط مدیریت می‌شود و از طریق ارسال درخواست‌های WebSocket دستکاری‌شده کانال‌های اعتبارسنجی GUI را دور می‌زند و foothold اولیه لازم برای ارتقای دسترسی را ایجاد می‌کند

Credential Access (TA0006)
اگر مهاجم توان دورزدن کنترل‌ها را پیدا کند می‌تواند به داده‌های حساس احراز هویتی مانند توکن‌ها، کوکی‌ها، کلیدهای API در حافظه یا لاگ‌ها دسترسی یابد و آن‌ها را برای حرکت بعدی استفاده کند

Discovery (TA0007)
مهاجم پس از دسترسی اولیه با فراخوانی API ها و endpoint های GUI و WebSocket، موجودیت‌ها، پیکربندی‌ها و نقش‌های کاربری را شناسایی می‌کند تا مسیرهای افزایش امتیاز را بیابد

Privilege Escalation (TA0004)
مهاجم با ترفند درخواستی در WebSocket منطق مجوزدهی را فریب داده و از سطح read‑only به super‑admin ارتقا می‌یابد که امکان تغییر پیکربندی، استخراج کلیدها و نصب بدافزار را فراهم می‌کند

Collection (TA0009)
پس از ارتقای دسترسی، مهاجم داده‌های حساس شامل لاگ‌ها، کانفیگ‌ها و کلیدهای رمز را جمع‌آوری می‌کند

Exfiltration (TA0010)
مهاجم ممکن است داده‌های جمع‌آوری‌شده را از شبکه بیرون بکشد

Defense Evasion (TA0005)
مهاجم می‌تواند با پاک‌سازی یا تغییر لاگ‌ها، استفاده از جلسات معتبر یا ایجاد crashهای گذرا ردپاها را مخدوش کند و تشخیص را دشوار سازد

Lateral Movement (TA0008)
با دسترسی super‑admin مهاجم می‌تواند از طریق کنسول مدیریت یا API به دستگاه‌های شبکه دیگر حرکت کند و دامنه حمله را افزایش دهد

Impact (TA0040)
پیامد فنی شامل افشای کلیدهای رمزنگاری، تغییر یا پاک‌سازی پیکربندی‌های امنیتی، و اختلال سرویس‌های مدیریتی است که ممکن است منجر به از کار افتادن شبکه یا دسترسی نامشروع دائمی شود

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-22254
2. https://www.cvedetails.com/cve/CVE-2025-22254/
3. https://fortiguard.fortinet.com/psirt/FG-IR-25-006
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-22254
5. https://vuldb.com/?id.311904
6. https://nvd.nist.gov/vuln/detail/CVE-2025-22254
7. https://cwe.mitre.org/data/definitions/269.html