CVE-2025-3509

چکیده

آسیب‌پذیری اجرای کد از راه دور (RCE) در GitHub Enterprise Server از طریق بهره‌برداری از عملکرد pre-receive hook رخ می‌دهد. مهاجم می‌تواند با اتصال به پورت‌های پویا که به طور موقت در دسترس قرار می‌گیرند، کد دلخواه (ACE) اجرا کرده و منجر به افزایش سطح دسترسی و نفوذ به سیستم شود.

توضیحات

آسیب‌پذیری CVE-2025-3509 در GitHub Enterprise Server ناشی از کنترل نامناسب تولید کد مطابق با CWE-94 در عملکرد pre-receive hook است. این مکانیزم برای اجرای اسکریپت‌های سمت سرور پیش از پذیرش عملیات push (ارسال تغییرات به مخرن) طراحی شده و در برخی شرایط برای ارتباط با اسکریپت‌های خارجی از پورت‌های پویا (dynamic ports) استفاده می‌کند. در موقعیت‌های عملیاتی خاص، برای مثال هنگام اعمال پچ در حال اجرا (Hot Patching) این پورت‌ها ممکن است موقتاً در دسترس بمانند و مهاجم بتواند روی آن‌ها bind (اتصال به پورت) شود، پیلود مخرب ارسال کند و در نتیجه کد دلخواه (ACE) را اجرا نماید.

برای بهره‌برداری از این ضعف، مهاجم باید یا دسترسی مدیر سایت (site administrator) برای فعال‌سازی و پیکربندی pre‑receive hookها داشته باشد یا مجوز نوشتن روی مخازن (repositories) که این hookها در آن‌ها فعال هستند. مهاجم با بررسی فرآیند به‌روزرسانی می‌تواند پنجره زمانیِ باز (attack window) را شناسایی کند، پورت‌های موقت را اسکن کرده و به آن‌ها متصل شود و با ارسال پیلودهایی مانند reverse‑shell، اجرای کد با سطح بالای دسترسی (مثلاً root) و نفوذ کامل به سامانه را رقم بزند.

پیامدهای آسیب‌پذیری شامل محرمانگی با سرقت داده ها، یکپارچگی با تغییر یا خرابی مخازن و در دسترس‌پذیری با اختلال در سرویس یا کنترل کامل سرور است. پچ‌ها در release notes رسمی GitHub منتشر شده و شامل بهبودهای مدیریت پورت‌ها و تقویت بررسی‌های امنیتی هستند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که GitHub Enterprise Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در GitHub Enterprise Server یک ضعف اجرای کد از راه دور است که از طریق سوءاستفاده از pre-receive hooks (قابلیت اجرای اسکریپت قبل از دریافت تغییرات در مخزن) امکان افزایش سطح دسترسی و نفوذ به سیستم را فراهم می‌کند. با توجه به انتشار پچ‌های رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام نمونه های GES را به نسخه‌های پچ‌شده (3.13.16، 3.14.13، 3.15.8، 3.16.4، 3.17.1 یا جدیدتر) به روزرسانی کنید. برای این کار از ابزار ghe-upgrade یا GitHub CLI استفاده کنید و فرآیند اعمال پچ در حال اجرا (Hot Patching) را با نظارت کامل انجام دهید.
• محدودسازی pre-receive hooks: hooks را تنها برای مخازن ضروری فعال کنید و مجوزهای تغییر آن‌ها را به کاربران معتبر محدود نمایید. در صورت عدم نیاز، این قابلیت را به طور کامل غیرفعال کنید.
• نظارت بر پورت‌های موقت: از ابزارهایی مانند fail2ban یا OSSEC برای مانیتورینگ پورت‌های پویا (معمولاً ephemeral ports بالای 1024) در زمان به روزرسانی استفاده کنید و لاگ‌های hook را با سطح DEBUG بررسی نمایید.
• ایزوله‌سازی شبکه: سرور GitHub Enterprise را پشت فایروال یا در VPC ایزوله اجرا کنید و دسترسی به پورت‌های hook (مانند TCP 9418 برای git) را محدود سازید.
• تست امنیتی: در محیط‌های آزمایشی با ابزارهایی مانند Burp Suite یا اسکریپت‌های سفارشی، فرآیند اعمال پچ در حال اجرا و اسکن پورت‌ها را شبیه‌سازی کنید تا از عدم وجود مسیر بهره‌برداری اطمینان حاصل شود.
• آموزش مدیران: تیم‌های توسعه را درباره ریسک‌های hook scripting و ضرورت بررسی لاگ های به روزرسانی آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و محدودسازی دسترسی به hooks، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت پلتفرم‌های GitHub Enterprise را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Execution (TA0002)
آسیب‌پذیری به‌طور قطعی اجرای کد از راه دور روی نودهای GitHub Enterprise Server را فراهم می‌کند؛ مسیر فنی مشخص اجرای اسکریپت‌های سمت سروِر در pre-receive hookها است که در شرایطی (مثلاً پنجره‌های زمانی مربوط به hot-patching و پورت‌های ephemeral باز) مهاجم می‌تواند به پورت موقت متصل شود و payload اجرا کند.

Privilege Escalation (TA0004)
گزارش‌های عمومی به‌روشنی بیان می‌کنند که بهره‌برداری موفق منجر به اجرای کد با امتیازات سطح سروِر و احتمالاً ارتقا به root یا دسترسی مدیر خواهد شد؛ این RCE مسیر مستقیم و تأییدشده‌ای برای افزایش سطح دسترسی و کنترل کامل پلتفرم فراهم می‌کند.

Impact (TA0040)
اثر تأییدشده این ضعف، تسلط مهاجم بر سرور اپلیکیشن است که می‌تواند منجر به سرقت داده‌ها، دستکاری یا حذف مخازن، تزریق بدافزار در زنجیره تأمینِ کد و اختلال محسوس در خدمات توسعه و انتشار شود؛ پیامدها شامل نقض محرمانگی، یکپارچگی و دسترس‌پذیری می‌شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-3509
2. https://www.cvedetails.com/cve/CVE-2025-3509/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-3509
4. https://vuldb.com/?id.305602
5. https://docs.github.com/en/enterprise-server@3.13/admin/release-notes#3.13.16
6. https://docs.github.com/en/enterprise-server@3.14/admin/release-notes#3.14.13
7. https://docs.github.com/en/enterprise-server@3.15/admin/release-notes#3.15.8
8. https://docs.github.com/en/enterprise-server@3.16/admin/release-notes#3.16.4
9. https://docs.github.com/en/enterprise-server@3.17/admin/release-notes#3.17.1
10. https://nvd.nist.gov/vuln/detail/CVE-2025-3509
11. https://cwe.mitre.org/data/definitions/94.html