خانه » CVE-2025-23368
هشدار‌های سایبری

CVE-2025-23368

Org.Wildfly.Core:wildfly-Elytron-Integration: Wildfly Elytron Brute Force Attack Via Cli

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 6 بازدید
هشدار سایبری CVE-2025-23368
  • شناسه CVE-2025-23368 :CVE
  • CWE-307 :CWE
  • yes :Advisory
  • منتشر شده: مارس 4, 2025
  • به روز شده: اکتبر 14, 2025
  • امتیاز: 8.1
  • نوع حمله: Brute Force
  • اثر گذاری: Account Takeover
  • حوزه: مدیریت هویت و دسترسی
  • برند: Red Hat
  • محصول: Build of Keycloak
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری در کامپوننت Wildfly Elytron Integration به دلیل عدم محدودیت کافی روی تلاش‌های ناموفق احراز هویت، سیستم را در برابر حملات Brute Force از طریق رابط خط فرمان (CLI) آسیب‌پذیر می کند. این ضعف ممکن است به مهاجم اجازه دهد به حساب‌های کاربری دسترسی پیدا کرده و امنیت سیستم را تهدید کند.

توضیحات

آسیب‌پذیری CVE-2025-23368 در Wildfly Elytron Integration (کامپوننت امنیتی برای مدیریت احراز هویت و مجوزها) شناسایی شده است. آسیب پذیری ناشی از عدم اعمال محدودیت کافی روی تعداد تلاش‌های ناموفق احراز هویت در بازه‌های زمانی کوتاه مطابق با CWE‑307 است؛ بدین‌ترتیب مهاجم از راه شبکه می‌تواند حمله brute‑force را از طریق رابط خط‌فرمان (CLI) و پورت‌های مدیریت مانند پورت 9990 اجرا کند.

بهره‌برداری به‌سادگی قابل خودکارسازی است. یک اسکریپت ساده (مثلاً با Expect یا Python) می‌تواند در یک حلقه دستور connect [USER]@[IP]:[PORT] را اجرا کرده و به‌توالی رمزهای عبور مختلف را ارسال نماید (گزارش‌ها نمونه‌ای از 51 تلاش متوالی را نشان می‌دهند) تا لاگین موفق شود؛ در صورت موفقیت، مهاجم می‌تواند دستورات مدیریتی را اجرا کرده و به اطلاعات سرور دسترسی پیدا کند.

پیامدهای این آسیب‌پذیری شامل تأثیر بر محرمانگی با امکان افشای اطلاعات حساس (مانند داده‌های سرور یا مدل‌ها)، یکپارچگی با تغییر تنظیمات یا نصب بدافزار و در دسترس‌پذیری با انکار سرویس (DoS) از طریق اختلال در عملکرد یا قفل موقت است. در گزارش‌ها یک کد اثبات مفهومی (PoC) عمومی (اسکریپت Expect) منتشر شده که روند حمله را نشان می‌دهد. مراحل بهره برداری شامل اجرای jboss-cli.sh –connect و ارسال مکرر مقادیر رمز تا حصول لاگین موفق، سپس اجرای فرمان‌های مدیریتی برای تأیید دسترسی است. محصولات آسیب‌پذیر شامل WildFly core تا نسخه 27.0.0.Final و محصولات Red Hat که از این کامپوننت استفاده می‌کنند، مانند Red Hat JBoss EAP 7 و 8، Red Hat Data Grid 8 و Red Hat Integration Camel K 1 هستند. تاکنون پچ رسمی منتشر نشده است و وضعیت هر محصول باید در Errata/RHSA رسمی بررسی شود.

CVSS

Score Severity Version Vector String
8.1 HIGH 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected from 0 through 27.0.0.Final Wildfly Elytron integration
All versions are affected Red Hat Data Grid 8
All versions are affected Red Hat Integration Camel K 1
All versions are affected Red Hat JBoss Enterprise Application Platform 7
All versions are affected Red Hat JBoss Enterprise Application Platform 8
All versions are unaffected Red Hat Build of Keycloak
Out of support scope Red Hat Fuse 7
Out of support scope Red Hat JBoss Data Grid 7
All versions are unaffected Red Hat JBoss Enterprise Application Platform Expansion Pack
Out of support scope Red Hat Process Automation 7
Out of support scope Red Hat Single Sign-On 7

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Red Hat را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
87,500 site:.ir “Red Hat” Red Hat

نتیجه گیری

این آسیب‌پذیری با شدت بالا درWildfly Elytron Integration، امکان حملات brute force از طریق CLI را فراهم می‌کند که می‌تواند منجر به دسترسی غیرمجاز، افشای داده یا انکار سرویس شود. با توجه به عدم انتشار پچ رسمی اجرای اقدامات کاهش ریسک زیربرای جلوگیری از بهره برداری ضروری است:

  • محدودسازی و کنترل دسترسی: دسترسی شبکه‌ای به پورت‌های مدیریت را محدود یا مسدود کنید؛ فقط از localhost یا VPN مجاز استفاده شود. CLI را تنها برای کاربران معتبر و از مسیرهای مجاز فعال نمایید و اندپوینت‌های مدیریتی را با IP whitelisting کنترل کنید.
  • راهکارهای کاهش ریسک (Mitigations): فوراً Fail2Ban را برای محدودیت نرخ تلاش‌های احراز هویت (rate limiting) نصب کنید، رمزهای عبور را به حداقل 16 کاراکتر ترکیبی تغییر دهید و CLI را غیرفعال نمایید.
  • نظارت بر لاگ‌ها: لاگ‌های احراز هویت را با auditd یا journalctl مانیتور کنید و در سیستم‌های SIEM ، هشدار برای IPهای تکراری یا تلاش‌های مشکوک تنظیم نمایید.
  • ایزوله‌سازی محیط: سرویس‌های WildFly را در شبکه‌های جداگانه (network segmentation) قرار دهید و SELinux را در حالت Enforcing فعال کنید.
  • اسکن و تست امنیتی: با Hydra تست brute force کنترل‌شده انجام دهید و تمام اندپوینت های CLI را شناسایی کنید.
  • آموزش: مدیران سیستم را درباره غیرفعال‌سازی CLI، استفاده از رمزهای قوی و بررسی لاگ‌های مشکوک آموزش دهید.

اجرای این اقدامات ریسک بهره برداری از آسیب پذیری را به طور قابل توجهی کاهش داده و سطح امنیت محصولات Red Hat را افزایش می دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
حفره بروت‌فورس روی رابط CLI به مهاجم از راه دور اجازه می‌دهد با ارسال تلاش‌های متعدد احراز هویت به‌عنوان نقطه ورود عمل کند

Credential Access (TA0006)
حملات موفق می‌تواند به برداشت یا حدسcredential های سرویس یا کاربران منجر شود که سپس برای توسعه دامنه نفوذ استفاده می‌شود

Discovery (TA0007)
مهاجم پس از دسترسی قادر است سرویس‌ها، پورت‌ها و تنظیمات مدیریتی را شناسایی کند که برای حملات بعدی حیاتی است

Privilege Escalation (TA0004)
حملات بروت‌فورس و اجرای دستورات مدیریتی می‌تواند منجر به ارتقای امتیازات به حساب‌های با سطح بالاتر یا اجرای عملیات با پرمیشن‌های گسترده شود

Defense Evasion (TA0005)
مهاجم ممکن است در صورت دسترسی مناسب تلاش کند لاگ‌ها را پاک یا دستکاری کند یا از تعداد زیادی آی‌‌پی پراکنده برای پوشاندن حمله استفاده کند

Lateral Movement (TA0008)
با دسترسی مدیریتی، مهاجم می‌تواند از CLI به نودها/خدمات دیگر (مثل دیتابیس، کش یا نودهای اپلیکیشن) انتقال یابد و دامنه حمله را گسترش دهد

Collection (TA0009)
مهاجم می‌تواند پیکربندی‌ها، لاگ‌ها یا داده‌های حساس روی سرور مدیریتی را جمع‌آوری کند که برای سوءاستفاده یا فروش ارزش دارد

Exfiltration (TA0010)
پس از جمع‌آوری، مهاجم ممکن است داده‌ها یا کانفیگ‌ها را از طریق کانال‌های شبکه‌ای یا کانال‌های پنهان خارج کند

Impact (TA0040)
پیامد فنی حمله شامل افشای داده‌ها، تغییر تنظیمات حیاتی، نصب بدافزار، یا قطع سرویس مدیریتی و پیامدهای تجاری/قانونی مرتبط است

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-23368
  2. https://www.cvedetails.com/cve/CVE-2025-23368/
  3. https://access.redhat.com/security/cve/CVE-2025-23368
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-23368
  5. https://vuldb.com/?id.298547
  6. https://bugzilla.redhat.com/show_bug.cgi?id=2337621
  7. https://www.gruppotim.it/it/footer/red-team.html
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-23368
  9. https://cwe.mitre.org/data/definitions/307.html

همچنین ممکن است دوست داشته باشید

CVE-2025-23303

CVE-2025-23363

CVE-2025-23297

CVE-2025-23354

CVE-2025-23355

CVE-2025-23242

CVE-2025-2240

CVE-2025-22056

CVE-2025-22011

CVE-2025-22067

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×