CVE-2025-22258

چکیده

آسیب‌پذیری سرریز بافر مبتنی برHeap (Heap-based Buffer Overflow) در سرویس Daemon NodeJS محصولات Fortinet شناسایی شده است. این ضعف امنیتی به مهاجمان احراز هویت‌شده اجازه می‌دهد با ارسال درخواست‌های HTTP دستکاری‌شده، سطح دسترسی خود را افزایش دهند و در صورت موفقیت کد دلخواه را اجرا کنند.

توضیحات

آسیب‌پذیری CVE-2025-22258 در Daemon NodeJS (فرآیند سرور مبتنی بر Node.js برای اجرای اسکریپت‌های جاوااسکریپت در سمت سرور) محصولات Fortinet رخ می‌دهد، جایی که بررسی نامناسب اندازه بافر حافظه Heap در پردازش درخواست‌های HTTP منجر به سرریز می‌شود و مطابق با CWE-122 طبقه‌بندی می‌گردد. این ضعف در سطح اپلیکیشن (APPLICATION) محصولات امنیتی Fortinet فعال می‌شود، جایی که مهاجم احراز هویت‌شده (مانند کاربر با دسترسی مدیریتی محدود) درخواست‌های HTTP مخرب ارسال کرده تا بافر Heap را سرریز کند.

این آسیب‌پذیری از طریق ارسال درخواست‌های HTTP دستکاری‌شده از راه دور قابل بهره برداری بوده و به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با ابزارهای خودکار مانند اسکریپت‌های Node.js یا فریم‌ورک‌های اکسپلویت وب، به‌صورت از راه دور و بدون تعامل کاربر اضافی اما با داشتن دسترسی اولیه، درخواست‌هایی حاوی داده‌های بزرگ ارسال کند و سرریز Heap را در Daemon NodeJS فعال نماید که منجر به افزایش سطح دسترسی (Privilege Escalation) یا اجرای کد دلخواه می‌شود.

پیامدهای این آسیب‌پذیری شامل نقض یکپارچگی با تغییر تنظیمات سیستم یا نصب بدافزار، دسترسی غیرمجاز به منابع حساس مانند کلیدهای رمزنگاری یا لاگ‌های امنیتی و اختلال در در دسترس‌پذیری با امکان کرش Daemon یا سرویس‌های وابسته است.

این آسیب‌پذیری محصولات متعددی از Fortinet، از جمله FortiOS (سیستم‌عامل فایروال)، FortiProxy (پروکسی امنیتی)، FortiPAM (مدیریت دسترسی بالا)، FortiSRA (احراز هویت تک‌امضایی) و FortiSwitchManager (مدیریت سوئیچ) را تحت‌تأثیر قرار می‌دهد. شرکت Fortinet پچ‌های مربوطه را منتشر کرده است، بنابراین اقدام فوری برای اعمال به‌روزرسانی‌های امنیتی توصیه می‌شود.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Fortinet را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در Daemon NodeJS محصولات Fortinet، امکان سرریز Heap و افزایش سطح دسترسی از راه دور برای مهاجمان احراز هویت‌شده را فراهم کرده و امنیت زیرساخت‌های شبکه‌ای را تهدید می‌نماید. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر ضروری است:

• به‌روزرسانی فوری: محصولات Fortinet را از طریق ابزار رسمی Upgrade Path (https://docs.fortinet.com/upgrade-tool) به نسخه‌های پچ‌شده به‌روزرسانی کنید. فایل‌های به‌روزرسانی را تنها از منابع رسمی Fortinet دانلود نمایید.
• راهکارهای کاهش ریسک (Mitigations): از پچ مجازی (Virtual Patch) با شناسه FG-VD-58637.0day در FMWP db update 25.081 استفاده کنید، دسترسی به Daemon NodeJS را با فایروال‌های داخلی محدود نمایید و درخواست‌های HTTP با اندازه غیرعادی را از طریق فایروال اپلیکیشن وب (WAF) مسدود کنید.
• محدودسازی دسترسی: احراز هویت دو مرحله‌ای (2FA) را برای کاربران مدیریتی فعال کنید، اصل حداقل دسترسی (Least Privilege) را اعمال نمایید و دسترسی به APIهای NodeJS را با RBAC کنترل کنید.
• نظارت بر لاگ ها: لاگ‌های HTTP و Daemon NodeJS را با ابزارهایی مانند FortiAnalyzer یا Splunk بررسی کنید و از سیستم‌های SIEM برای تشخیص درخواست‌های مشکوک با اندازه بزرگ استفاده نمایید.
• ایزوله‌سازی محیط: سرویس Daemon NodeJS را در کانتینرهای ایزوله مانند Docker اجرا کنید و دسترسی به حافظه Heap را با ابزارهای امنیتی مانند AddressSanitizer محدود نمایید.
• اسکن و تست امنیتی: محصولات را با ابزارهایی مانند FortiGuard Vulnerability Scanner یا Nessus اسکن کنید و تست‌های نفوذ روی سناریوهای HTTP مخرب انجام دهید.
• آموزش: کاربران و مدیران را در مورد ریسک‌های سرریز Heap در Daemonهای NodeJS، اهمیت به‌روزرسانی‌های مدوام و تشخیص درخواست‌های مشکوک آموزش دهید.
• اقدامات بلندمدت: در صورت امکان، به‌روزرسانی به نسخه‌های جدیدتر یا جایگزینی Daemon با پیاده‌سازی‌های امن‌تر را در برنامه‌های بلندمدت امنیتی لحاظ کنید. ایزوله‌سازی سطح فریم‌ور یا کانتینری‌سازی Daemon می‌تواند به‌طور چشمگیری ریسک‌های مشابه را کاهش دهد.

اجرای این اقدامات، ریسک افزایش سطح دسترسی و اجرای کد غیرمجاز را به حداقل رسانده و امنیت محصولات Fortinet را در برابر حملات مبتنی بر احراز هویت تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجمِ احراز هویت‌شده مثلاً اکانت مدیریتی ضعیف یا دسترسی API با مجوز کم از طریق ارسال درخواست‌های HTTP دستکاری‌شده به Daemon NodeJS به سیستم دسترسی اولیه می‌یابد

Execution (TA0002)
اجرای کد/RCE در این سناریو از طریق تبدیل سرریز Heap در Daemon NodeJS به دستوراتی با سطح سیستم امکان‌پذیر می‌شود

Discovery (TA0007)
مهاجم می‌تواند با فهرست‌برداری API ها، پارامترها و endpointهای NodeJS ساختار پردازش ورودی را کشف کند

Privilege Escalation (TA0004)
سرریز Heap ممکن است به مهاجمِ احراز هویت‌شده امکان افزایش سطح دسترسی به دسترسی‌های system/root یا خواندن کلیدهای محرمانه را می‌دهد

Collection (TA0009)
پس از افزایش دسترسی، مهاجم قادر است اطلاعات حساس config، کلیدها، لاگ‌ها را جمع‌آوری کند؛

Exfiltration (TA0010)
اگر مهاجم اطلاعات را جمع‌آوری کند، exfiltration می‌تواند از طریق کانال‌های HTTP یا کانال‌های پوشیده‌شده رخ دهد

Defense Evasion (TA0005)
مهاجم ممکن است برای پنهان‌سازی عملیاتش crash های گذرا، پاک‌سازی لاگ‌ها یا تغییر timestamp ها را انجام دهد

Lateral Movement (TA0008)
پس از بهره‌برداری محلی، مهاجم می‌تواند به سرویس‌ها یا دستگاه‌های شبکه‌ای مجاور منتقل شود

Impact (TA0040)
پیامدهای فنی شامل تغییر تنظیمات سیستمی، نصب persistence malware، دسترسی به کلیدهای رمزنگاری، و از دسترس خارج شدن سرویس‌ها (daemon crash) است که می‌تواند به نقض یکپارچگی، افشای اطلاعات و اختلال در Availability منجر شود

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-22258
2. https://www.cvedetails.com/cve/CVE-2025-22258/
3. https://fortiguard.fortinet.com/psirt/FG-IR-24-546
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-22258
5. https://vuldb.com/?id.328286
6. https://nvd.nist.gov/vuln/detail/CVE-2025-22258
7. https://cwe.mitre.org/data/definitions/122.html