CVE-2025-24404

چکیده

آسیب‌پذیری در پروژه Apache HertzBeat از طریق تزریق XML (XML Injection) در پاسخ‌های HTTP sitemap قابل سوءاستفاده است. مهاجم دارای حساب کاربری معتبر می‌تواند محتوای XML ویژه‌ای را ارسال کند تا فرآیند تجزیه (parsing) را منحرف نموده و در نهایت منجر به اجرای کد از راه دور (RCE) شود.

توضیحات

آسیب‌پذیری CVE-2025-24404 در Apache HertzBeat (Incubating) (ابزار متن‌باز برای نظارت بر عملکرد و سلامت سیستم‌ها) شناسایی شده است. این ضعف ناشی از تزریق XML هنگام تجزیه پاسخ HTTP sitemap است که مطابق با CWE-91 طبقه‌بندی می‌شود. به‌عبارت دیگر، مهاجم دارای حساب کاربری معتبر می‌تواند یک مانیتور جدید اضافه کند که محتوای XML را تجزیه می‌کند؛ اگر پاسخ sitemap حاوی محتوای تزریق‌شده خاص باشد، فرآیند تجزیه منجر به بهره برداری شده و امکان اجرای کد از راه دور (RCE) یا افشا و تغییر داده‌ها را فراهم می کند.

این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای خودکار مانند Burp Suite یا اسکریپت‌های جاوا، به‌صورت از راه دور، بدون تعامل کاربر و با داشتن دسترسی پایین مانیتور مخرب را اضافه کند تا هنگام تجزیه XML در HTTP sitemap ، کد دلخواه اجرا شود.

پیامدهای این آسیب‌پذیری شامل نقض محرمانگی با افشای داده‌های حساس، یکپارچگی با اجرای کد مخرب و تغییرات سیستم و در دسترس‌پذیری با اختلال در سرویس از طریق RCE است. تمامی نسخه‌های Apache HertzBeat پیش از 1.7.0 آسیب‌پذیر هستند و بنیاد آپاچی در نسخه 1.7.0 پَچ امنیتی را منتشر کرده است؛ بنابراین به‌روزرسانی فوری به نسخه پچ شده توصیه می‌شود.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Apache HertzBeat را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Apache HertzBeat، امکان تزریق XML از طریق تجزیه Sitemap فراهم می‌کند و در صورت بهره‌برداری می‌تواند منجر به اجرای کد از راه دور (RCE) و کنترل کامل سرور شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: HertzBeat را از طریق مخزن رسمی آپاچی به نسخه 1.7.0 یا بالاتر به‌روزرسانی کنید.
• راهکارهای کاهش ریسک (Mitigations): فرآیند تجزیه XML را با استفاده از کتابخانه‌های امن (مانند Jackson XML یا dom4j) پیکربندی کنید و XML External Entity (XXE) و قابلیت‌های DTD را غیرفعال نمایید. ورودی‌های Sitemap را با اعتبارسنجی دقیق فیلتر کنید و از فهرست سفید (URL whitelisting) برای آدرس‌های مانیتور استفاده کنید.
• محدودسازی دسترسی: اصل حداقل دسترسی (Least Privilege) را برای حساب‌های کاربری اعمال کنید، احراز هویت دو مرحله‌ای (2FA) را فعال نمایید و دسترسی به افزودن مانیتور را با RBAC محدود کنید.
• نظارت بر لاگ‌ها: لاگ‌های مرتبط با تجزیه XML و افزودن مانیتور را با ابزارهایی مانند ELK Stack یا Splunk مانیتور کنید و از سیستم‌های SIEM برای شناسایی پیلودهای مشکوک XML استفاده نمایید.
• ایزوله‌سازی محیط: HertzBeat را در کانتینرهای Docker یا Kubernetes با Network Policies ایزوله اجرا کنید و دسترسی به منابع خارجی را با پروکسی معکوس مانند NGINX محدود نمایید.
• اسکن و تست امنیتی: اپلیکیشن را با ابزارهایی مانند OWASP ZAP یا Burp Suite برای تست تزریق XML اسکن کنید و تست‌های نفوذ روی سناریوهای Sitemap مخرب انجام دهید.
• آموزش: تیم‌های توسعه و عملیات را در مورد ریسک‌های تزریق XML، اهمیت اعتبارسنجی ورودی و بهترین شیوه‌های امن‌سازی مانیتورینگ آموزش دهید.

اجرای این اقدامات، به ویژه به‌روزرسانی فوری همراه با ایمن سازی تجزیه XML، محدودسازی دسترسی و مانیتورینگ مداوم، ریسک اجرای کد مخرب را به حداقل می‌رساند و سطح امنیت Apache HertzBeat را در برابر تهدیدات تزریق XML و RCE تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم می‌تواند با ثبت‌نام یا استفاده از یک حساب کاربری معتبر در رابط افزودن مانیتور، یا با فریب اپراتور برای معرفی یک URL مخرب (sitemap) به سرویس، ورودی XML کنترل‌شده‌ای را وارد کند که به مرحله پارسینگ می‌رسد؛

Execution (TA0002)
هنگام پارسینگ پاسخ sitemap که حاوی پیلود مخرب XML است، پارسر ناامن می‌تواند ساختار داده را به‌گونه‌ای تفسیر کند که منجر به اجرای کد از راه دور یا فراخوانی منابع خارجی شود

Persistence (TA0003)
بهره‌برداری می‌تواند امکان نصب backdoor یا ایجاد آیتم‌های پیکربندی دائمی در سرور را فراهم کند که دسترسی ماندگار می‌سازد

Privilege Escalation (TA0004)
بسته به پیلود، مهاجم ممکن است کد را با امتیازی اجرا کند که به او امکان افزایش سطح دسترسی محلی بدهد

Defense Evasion (TA0005)
مهاجم می‌تواند با استفاده از پیلودهای XML که شبیه ورودی‌های مشروع هستند یا با پاک‌سازی لاگ محلی، شناسایی را دشوار کند

Credential Access (TA0006)
بهره‌برداری موفق می‌تواند داده‌های پیکربندی یا توکن‌های ذخیره‌شده را افشا کند که بعداً برای دسترسی به سرویس‌ها یا API ها مورد استفاده قرار گیرند

Discovery (TA0007)
مهاجم با اجرای کد یا خواندن پاسخ‌های XML می‌تواند ساختار داخلی پروژه، آدرس‌های شبکه و endpoint های حساس را کشف کند و بردارهای ثانویه طراحی نماید

Lateral Movement (TA0008)
در صورت دسترسی به اطلاعات شبکه یا کلیدها، مهاجم ممکن است از سرور آلوده به‌عنوان نقطه پرتاب برای نفوذ به سایر سرویس‌های داخلی استفاده کند

Collection (TA0009)
مهاجم می‌تواند داده‌های حساس پردازش‌شده یا ذخیره‌شده را جمع‌آوری کند (پیکربندی‌ها، لاگ‌ها، داده‌های مشتری) که برای اهداف بعدی یا فروش مورد استفاده قرار گیرد

Exfiltration (TA0010)
پس از جمع‌آوری، مهاجم ممکن است داده‌ها را از طریق کانال‌های خروجی و پروکسی‌ها فرستاده و نشت نماید

Impact (TA0040)
پیامد اصلی شامل اجرای کد از راه دور (RCE)، نقض محرمانگی، تغییر داده‌ها و احتمال قطع سرویس است که می‌تواند به کنترل کامل سرور منجر شود

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-24404
2. https://www.cvedetails.com/cve/CVE-2025-24404/
3. https://lists.apache.org/thread/4ydy3tqbpwmhl79mcj3pxwqz62nggrfd
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24404
5. https://vuldb.com/?id.322980
6. https://nvd.nist.gov/vuln/detail/CVE-2025-24404
7. https://cwe.mitre.org/data/definitions/91.html