CVE-2025-27440

چکیده

یک آسیب‌پذیری سرریز بافر مبتنی بر heap در برخی اپلیکیشن‌های Zoom Workplace روی پلتفرم‌های ویندوز، macOS، لینوکس، iOS و اندروید شناسایی شده است. این ضعف به کاربران احراز هویت شده اجازه می‌دهد تا از طریق شبکه، سطح دسترسی خود را افزایش دهند و به منابع حساس سیستم یا اپلیکیشن دسترسی پیدا کنند.

توضیحات

آسیب‌پذیری CVE-2025-27440 از نوع سرریز بافر مبتنی بر heap است که در برخی از اپلیکیشن‌های Zoom Workplace وجود دارد و مطابق با CWE‑124 طبقه‌بندی می‌شود. این ضعف ناشی از مدیریت نادرست مرزهای حافظه هنگام پردازش داده‌های ورودی شبکه است و به یک کاربر احراز هویت‌شده اجازه می‌دهد با ارسال بسته‌های شبکه ساختگی به‌صورت از راه دور، جریان حافظه را مختل کرده و سطح دسترسی خود را افزایش دهد.

این ضعف در نسخه‌های Zoom Workplace روی پلتفرم‌های ویندوز، macOS، لینوکس، iOS و اندروید گزارش شده است.

بهره‌برداری معمولاً توسط مهاجم احراز هویت‌شده و از طریق شبکه انجام می‌شود؛ یعنی اپلیکیشن هدف باید در حال پردازش ترافیک (مثلاً در جریان یک نشست ویدیویی) باشد. حمله قابل خودکارسازی بوده و می‌تواند با اسکریپت‌ها یا ابزارهای ساخت بسته اجرا شود، هرچند در برخی موارد نیاز به شرایط زمانی و زمان‌بندی دقیق یا توالی خاصی از بسته‌ها دارد. این آسیب‌پذیری کلاینت‌های Zoom را به‌طور جداگانه تحت‌تأثیر قرار نمی‌دهد مگر اینکه نسخه آسیب‌پذیر اپلیکیشن در حال پردازش ترافیک باشد. پیامدهای آسیب‌پذیری محرمانگی با افشای داده‌های حساس مانند اطلاعات نشست یا فایل‌های لوکال، یکپارچگی با تغییر تنظیمات یا داده‌ها و در دسترس‌پذیری با اختلال در اپلیکیشن است.

این آسیب‌پذیری با انتشار نسخه‌های 6.3.0 (برای اکثر اپلیکیشن‌ها) و 6.2.12 (برای VDI Client) به‌طور کامل پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Zoom Communications را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در اپلیکیشن‌های Zoom Workplace، Rooms و Meeting SDK ، ریسک سرریز بافر و افزایش سطح دسترسی را برای کاربران احراز هویت شده افزایش می‌دهد. با توجه به انتشار پچ امنیتی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام اپلیکیشن‌های Zoom Workplace، Rooms و Meeting SDK را به نسخه‌های 6.3.0 یا بالاتر و VDI Client به 6.2.12 به‌روزرسانی کنید. پچ‌ها در وب‌سایت رسمی Zoom موجود هستند.
• محدودسازی دسترسی شبکه: دسترسی کاربران به شبکه‌های حساس را با استفاده از VPN یا فایروال محدود کنید و احراز هویت چندمرحله‌ای (MFA) را برای نشست های Zoom فعال نمایید تا ریسک کاربران احراز هویت شده کاهش یابد.
• نظارت و ثبت لاگ: از ابزارهای مانیتورینگ مانند Zoom Admin Dashboard یا SIEM برای ردیابی فعالیت‌های مشکوک شبکه استفاده کنید و لاگ‌های برنامه را با جزئیات بالا بررسی نمایید.
• ایزوله‌سازی محیط: برنامه‌های Zoom را در محیط‌های مجازی‌سازی‌شده مانند Docker یا VM اجرا کنید و دسترسی به پورت‌های غیرضروری (مانند UDP 3478 برای STUN) را مسدود سازید.
• تست امنیتی: اپلیکیشن ها را با ابزارهای تحلیل آسیب‌پذیری مانند Nessus یا OpenVAS اسکن کنید تا موارد سرریز حافظه شناسایی شود. همچنین از روش‌های Fuzzing (تست تصادفی ورودی) برای ارزیابی مقاومت پردازش داده‌های شبکه بهره ببرید.
• آموزش کاربران: تیم‌های کاربری و مدیران IT را درباره ریسک‌های افزایش سطح دسترسی در برنامه‌های ویدئوکنفرانس آموزش دهید و سیاست‌های به‌روزرسانی خودکار را اعمال کنید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع نسخه‌ها و تقویت کنترل‌های دسترسی، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت نشست و ارتباطات در Zoom Workplace Apps را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
یک مهاجم احراز هویت‌شده می‌تواند از طریق کانال‌های شبکه‌ای Zoom (مثلاً ورود به جلسه، اشتراک صفحه یا پردازش بسته‌های رسانه‌ای) بسته‌های سازشی ارسال کند که باعث تریگر شدن سرریز هیپ شوند؛ معمولاً نیاز به حضور کاربر در نشست یا باز بودن سرویس است.

Discovery (TA0007)
پس از اجرای کد، مهاجم می‌تواند اطلاعات محیطی (فایل‌های محلی، فرایندها، پورت‌های باز، دستگاه‌های متصل) را کشف کند تا اهداف بعدی را شناسایی کند.

Privilege Escalation (TA0004)
اجرای کد روی پروسس Zoom یا در فضای کاربر ممکن است به بهره‌برداری از ضعف‌های محلی منجر شود تا سطح امتیاز به SYSTEM/ROOT یا سرویس‌های با امتیاز بالاتر صعود کند.

Collection (TA0009)
مهاجم می‌تواند محتوای نشست‌ها، فایل‌های به اشتراک گذاشته‌شده، یا داده‌های محلی را جمع‌آوری کند (تصاویر، اسناد، تاریخچه چت). اقدام عملی

Defense Evasion (TA0005)
مهاجم پس از اجرا می‌تواند تلاش کند لاگ‌ها را پاک کند، telemetry را دور بزند یا فرایندها را پنهان کند تا تشخیص دشوار شود.

Lateral Movement (TA0008)
اگر کلاینت Zoom در شبکه‌ای قرار داشته باشد که به منابع حساس متصل است، مهاجم می‌تواند از آن به‌عنوان نقطه پرش برای حرکت جانبی به سرورها یا دستگاه‌های دیگر استفاده کند.

Impact
بهره‌برداری موفق می‌تواند به نقض محرمانگی (سرقت محتوای نشست یا فایل‌ها)، نقض یکپارچگی (تغییر تنظیمات/فایل‌ها)، قطع سرویس اپلیکیشن و اجرای کد با امتیازات بالاتر منجر شود که در محیط‌های حساس می‌تواند امکان persistence و lateral movement و در نهایت نفوذ عمیق به شبکه سازمانی فراهم آورد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-27440
2. https://www.cvedetails.com/cve/CVE-2025-27440/
3. https://www.zoom.com/en/trust/security-bulletin/zsb-25011/
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27440
5. https://vuldb.com/?id.299239
6. https://nvd.nist.gov/vuln/detail/CVE-2025-27440
7. https://cwe.mitre.org/data/definitions/124.html