- شناسه CVE-2025-2962 :CVE
- CWE-835 :CWE
- yes :Advisory
- منتشر شده: ژوئن 24, 2025
- به روز شده: ژوئن 24, 2025
- امتیاز: 8.2
- نوع حمله: crafted-message
- اثر گذاری: Denial of Service (Dos)
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: zephyrproject-rtos
- محصول: Zephyr
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری انکار سرویس (DoS) ناشی از حلقه بینهایت (Infinite Loop) در تابع dns_copy_qname سیستمعامل Zephyr RTOS شناسایی شده است. این ضعف مهاجم را قادر میسازد با ارسال بسته DNS مخرب، فرآیند پردازش DNS را مختل کند.
توضیحات
آسیبپذیری CVE-2025-2962 در تابع dns_copy_qname سیستمعامل Zephyr RTOS (سیستمعامل بلاذرنگ متنباز برای دستگاههای جاسازی شده embedded) و اینترنت اشیا) ناشی از عدم حفاظت در برابر حلقههای اشاره گر فشردهسازی نام های DNS (DNS Name Compression Loops) مطابق با CWE-835 است. در پیادهسازی آسیبپذیری، یک حلقه while(1) وجود دارد که موقعیت پردازش در پیام (pos) را بر اساس بایتهای اشارهگرِ فشردهسازی بهروزرسانی میکند؛ اما هیچ مکانیزم مناسبی برای جلوگیری از جهشهای چرخهای (cyclic chain of jumps) یا محدود کردن تعداد تکرارها وجود ندارد. اگر یک بسته مخرب طوری ساخته شود که مقدار pos دوباره به همان مقدار قبلی یا به یک موقعیت قبلی بازگردد، حلقه هرگز خاتمه نیافته و در نتیجه پردازشکننده در حلقه بینهایت گرفتار میشود. این وضعیت بهویژه روی دستگاههای دارای منابع محدود (low-resource devices) مانند سنسورها و گِیتویهای IoT میتواند منجر به مصرف کامل CPU، هنگ (hang) فرآیند پردازش DNS، کرش یا نیاز به راهاندازی مجدد دستی دستگاه شود.
این ضعف بهراحتی قابل خودکارسازی است؛ مهاجم میتواند از راه دور و بدون تعامل کاربر و بدون احراز هویت، تنها با توانایی ارسال بستههای شبکه، بستههای DNS مخرب را ارسال کند تا حلقه فشردهسازی را ایجاد نماید.
اثر اصلی این آسیبپذیری در دسترسپذیری است و میتواند به انکار کامل سرویس (DoS) روی دستگاههای هدف بینجامد. در شبکه های IoT با توزیع زیاد دستگاه و در صورت وجود حملات هماهنگ ممکن است اثرات گستردهتری روی شبکه مشاهده شود.
پَچ امنیتی منتشر شده شامل افزودن متغیری برای پیگیری هدفِ جهش قبلی (last jump target) و اعمال بررسی قبل از هر جهش است، بهطوریکه هدفِ جهش جدید باید بهوضوح کمتر از هدفِ قبلی باشد (check new_pos < last_pos) تا از حلقههای چرخهای جلوگیری گردد. همچنین اعتبارسنجی قالبِ اشارهگرِ فشردهسازی اصلاح شده است تا فقط زمانی که دو بیت بالای بایت برابر0b11 باشند (نمایانگر اشاره گر معتبر مطابق RFC) آن را بهعنوان اشارهگر بپذیرد؛ در غیر اینصورت بسته رد میشود. این تغییرات از ورود به حلقه بیپایان و پردازشِ اشارهگرهای نامعتبر جلوگیری میکند.
CVSS
| Score | Severity | Version | Vector String |
| 8.2 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected through 4.1.0
affected through 3.7.1 |
Zephyr |
لیست محصولات بروز شده
| Versions | Product |
| This has been fixed in main for v4.2.0 | Zephyr |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Zephyr RTOS را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 116 | site:.ir “Zephyr RTOS” | Zephyr RTOS |
نتیجه گیری
این آسیبپذیری با شدت بالا در Zephyr RTOS، دستگاههای جاسازی شده و اینترنت اشیا را در برابر انکار سرویس از راه دور آسیبپذیر میکند. با توجه به انتشار پچ رسمی، برای جلوگیری و کاهش ریسک، اجرای اقدامات زیر توصیه می شود:
- بهروزرسانی فوری: سیستم هایZephyr به نسخه 2.0 یا بالا تر به روزرسانی کنید.
- فیلترینگ شبکه: با استفاده از فایروالها (مانند iptables یا nftables) ترافیک DNS (پورت 53 TCP/UDP) را تنها به سرورهای معتبر محدود کنید.
- اعتبارسنجی DNS: از DNSSEC (DNS Security Extensions) و resolverهای stub با بررسی اشاره گر معتبر استفاده نمایید تا بستههای مخرب و مشکوک رد شوند.
- نظارت و لاگ: ابزارهای EDR یا سامانه های مانیتورینگ شبکه (مانند Zeek) برای شناسایی بستههای DNS غیرعادی استفاده کرده و مانیتورینگ حلقههای احتمالی (loop detection) در لاگها مستقر کنید.
- ایزولهسازی شبکه: دستگاهها را با استفاده از VLAN جداگانه، شبکه Air-Gap یا تقسیم بندی شبکه محافظت نمایید تا در صورت بهرهبرداری از آسیبپذیری، دامنه اثر محدود شود.
- تست امنیتی: از ابزارهایی مانند Scapy یا dns-fuzz برای انجام تست های fuzzing و تست نفوذ (penetration testing) سیستم استفاده کنید.
- بهروزرسانی مداوم: شاخههای پشتیبانی شده بلند مدت ( LTS Branchesمانند 3.7) را با پچهای امنیتی به روزرسانی کرده و برای اطلاع از هشدارهای رسمی Zephyr عضو خبرنامهها و کانالهای امنیتی شوید.
اجرای این اقدامات، بهویژه بهروزرسانی و فیلترینگ ترافیک DNS میتواند از احتمال انکار سرویس (DoS) جلوگیری کرده و امنیت Zephyr RTOS را در محیطهای حساس تضمین کند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم میتواند از راه دور و بدون احراز هویت تنها با ارسال بستههای DNS مخرب به پورت 53 بهسرعت سطح دسترسی لازم برای تحریک آسیبپذیری را بهدست آورد؛ این دسترسی مبتنی بر قابلیت ارسال پکت به سرویس DNS است و نیازی به تعامل کاربر یا اعتبارنامه ندارد.
Credential Access (TA0006)
این CVE از مسیر credential harvesting استفاده نمیکند و نفوذ مستقیم به اعتبارنامهها رخ نمیدهد؛ با این حال در صورت وابستگی سرویسها به توکنها یا کانکشنهای محلی، یک DoS گسترده میتواند مکانیزمهای مدیریت نشست را مختل کند.
Discovery (TA0007)
مهاجم با اسکن و ارسال بستههای crafted میتواند دستگاههای هدف را شناسایی کند. تشخیص دستگاههای با سرویس DNS فعال یا پورت 53 باز و الگوی حمله را تست کند
Defense Evasion (TA0005)
مهاجم میتواند با تغییرات جزئی در ساختار بستهها و استفاده از pointer offsets غیرمعمول، حملات را طوری طراحی کند که قوانین ساده تشخیص را دور بزنند.
Impact (TA0040)
اثر اصلی کاهش در دسترسپذیری است: مصرف کامل CPU، hang یا کرش دستگاههای کممنبع که بهدنبال آن نیاز به راهاندازی دستی یا حذف از سرویس پیش میآید
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-2962
- https://www.cvedetails.com/cve/CVE-2025-2962/
- https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-2qp5-c2vq-g2ww
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-2962
- https://vuldb.com/?id.313730
- https://docs.zephyrproject.org/latest/security/vulnerabilities.html#cve-2025
- https://nvd.nist.gov/vuln/detail/CVE-2025-2962
- https://cwe.mitre.org/data/definitions/835.html
