CVE-2025-42944

چکیده

آسیب‌پذیری بحرانی سریال زدایی ناایمن داده های غیرقابل اعتماد در ماژول RMI-P4 سرویسSAP NetWeaver AS Java شناسایی شده است. این آسیب پذیری به مهاجم بدون احراز هویت اجازه می دهد با ارسال پیلود مخرب به پورت باز، فرمان های دلخواه سیستم عامل را اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-42944 در SAP NetWeaver AS Java (پلتفرم سرور اپلیکیشن جاوا شرکت SAP برای سیستم‌های سازمانی)، ناشی سریال زدایی ناایمن داده‌های غیرقابل اعتماد مطابق با CWE-502 است. سریال‌زدایی ناایمن به فرایندی اطلاق می‌شود که در آن برنامه ساختارهای داده‌ای (آبجکت‌ها) را از داده‌های دریافت‌شده بازتولید می‌کند بدون اینکه منبع یا محتوای آن داده‌ها را به‌طور کافی اعتبارسنجی کند. در اینجا ماژول RMI-P4 (پروتکلی برای فراخوانی متدهای از راه دور در جاوا با امنیت بالاتر) اجازه می‌دهد مهاجم بدون احراز هویت پیلود مخرب را به پورت باز ارسال کند و زنجیره‌های گَجت ysoserial (زنجیره‌های گجت برای بهره‌برداری از سریال زدایی در جاوا) را فعال نماید.

نتیجه این فرآیند اجرای فرمان‌های دلخواه سیستم‌عامل است که مهاجم را قادر می‌سازد کنترل کامل سرور NetWeaver را به‌دست آورد. بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای خودکار مانند ysoserial یا قالب های تشخیصی (Nuclei templates) به صورت از راه دور، بدون تعامل کاربر و بدون نیاز به دسترسی اضافی، پیلودهای مخرب را به اندپوینت RMI-P4 ارسال کند و دستوراتی مخرب را اجرا نماید. این حمله باعث تغییر دامنه تأثیر (Scope: Changed) می‌شود، یعنی حمله از فضای اپلیکیشن جاوا به سیستم‌عامل زیرین گسترش می‌یابد. پیامدهای آن شامل محرمانگی با شامل افشای داده‌های محرمانه، یکپارچگی با تغییر تنظیمات سازمانی و در دسترس پذیری با اختلال کامل سرویس است. طبق اعلام SAP، این ضعف در نصب‌های SERVERCORE 7.50 شناسایی شده و با اعمال SAP Security Note 3660659 پچ شده است؛ بنابراین اعمال سریعِ این یادداشت امنیتی و محدودسازی دسترسی به پورت‌های RMI از جمله اقدامات ضروری است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که SAP Netweaver را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در SAP NetWeaver AS Java، با پتانسیل اجرای فرمان های دلخواه از طریق سریال زدایی در RMI-P4، تهدیدی جدی برای سیستم‌های سازمانی SAP است و می‌تواند منجر به کنترل کامل سرورهای حیاتی شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: یادداشت‌های امنیتی SAP (SAP Security Notes) شماره 3660659 را از پورتال پشتیبانی SAP دریافت و اعمال کنید؛ این یادداشت‌ها حفاظت‌ها و ایمن سازی (hardening) مخصوص RMI-P4 و مسدودسازی گجت‌های ناامن را فراهم می‌کنند.
• غیرفعال‌سازی RMI-P4: در صورت امکان، پروتکل RMI-P4 را غیرفعال کنید و از پروتکل‌های امن‌تر مانند HTTPS استفاده نمایید؛ پورت‌های P4 (مثلاً الگوی 5XX04) را پشت فایروال مسدود کنید.
• فیلترینگ ورودی: عملیات سریال‌زدایی را با مکانیزم‌هایی مانند Java Security Manager یا کتابخانه‌های امن (مثلاً NotSoSerial) محدود کنید و تنها زنجیره‌های گَجتِ معتبر (whitelist) را مجاز نمایید.
• نظارت و ثبت لاگ: لاگ‌ سرویس های RMI را برای شناسایی پیلودهای مشکوک (مانند بایت‌کدهای سریال سازی ‌شده طولانی) نظارت کنید و از ابزارهایی مانند SAP Solution Manager یا SPLUNK برای تشخیص حملات سریال زدایی بهره ببرید.
• ایزوله‌سازی: سرورهای NetWeaver را در شبکه‌های جداگانه اجرا کنید و دسترسی به پورت‌های RMI را با NSG (Network Security Groups) یا فایروال اپلیکیشن وب (WAF) مانند SAP Web Dispatcher محدود سازید.
• تست امنیتی: سیستم را با ابزارهایی مانند Nuclei templates یا ysoserial برای سناریوهای سریال زدایی اسکن کنید؛ از تست نفوذ منظم و Fuzzing (تست ورودی‌های تصادفی) برای ارزیابی پورت‌های باز استفاده نمایید.
• آموزش و بهترین شیوه‌ها: تیم‌های IT را در مورد ریسک‌های سریال زدایی در جاوا (مانند OWASP Deserialization Cheat Sheet) آموزش دهید و از نسخه‌های جدید جاوا همراه با به‌روزرسانی‌های امنیتی استفاده کنید.

اجرای این راهکارها، به ویژه اعمال یادداشت های امنیتی SAP و غیرفعال‌سازی RMI-P4، ریسک اجرای کد دلخواه را به‌طور چشمگیری کاهش داده و امنیت سامانه های NetWeaver را در برابر حملات از راه دور حفظ می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
آسیب‌پذیری به مهاجم اجازه می‌دهد بدون احراز هویت و از طریق ارسال پیلود سریال‌شده مخرب به پورت/اندپوینت RMI-P4 به صورت شبکه‌ای وارد فضای هدف شود

Execution (TA0002)
سریال‌زدایی ناایمن باعث اجرای فرمان دلخواه روی سیستم میزبان می‌شود. مهاجم با ارسال زنجیره‌های گَجت مانند those produced by ysoserial، کد از راه دور را اجرا می‌کند

Credential Access (TA0006)
خود آسیب‌پذیری به طور مستقیم credential theft تولید نمی‌کند، اما اجرای کد ممکن است به دسترسی یا استخراج هش‌ها، فایل‌های پیکربندی یا منابع حاوی اعتبارنامه منجر شود

Discovery (TA0007)
بهره‌بردار می‌تواند ساختار اپلیکیشن، سرویس‌های در حال اجرا و نسخه‌های SAP را از طریق نتایج اجرای کد یا پاسخ‌های سرویس کشف کند

Privilege Escalation (TA0004)
اجرای کد در بستر اپلیکیشن می‌تواند با بهره‌برداری از مجوزهای ناصحیح یا آسیب‌پذیری‌های محلی به سطح OS/ROOT افزایش یابد.

Defense Evasion (TA0005)
مهاجم می‌تواند پیلودهای سریال‌شده را طوری بسازد که از قواعد معمول تشخیص عبور کند (بایت‌کدهای پیچیده، فشرده‌سازی، یا رمزگذاری) و تشخیص را دشوار سازد.

Lateral Movement (TA0008)
پس از موفقیت، مهاجم ممکن است از سرور NetWeaver به سیستم‌های دیگر در شبکه حرکت کند.

Collection (TA0009)
مهاجم می‌تواند اطلاعات حساس، فایل‌های پیکربندی، یا داده‌های تجاری را محلی جمع‌آوری کند

Exfiltration (TA0010)
داده‌ها می‌توانند از طریق کانال‌های خروجی سرویس یا تکنیک‌های blind extraction ارسال شوند

Impact (TA0040)
پیامد جامع شامل اجرای فرمان دلخواه، تغییر دامنه اثر به سطح OS، افشای داده‌های حساس، اختلال سرویس و کنترل کامل سرور است که سطح تاثیر را بسیار بالا/بحرانی می‌سازد

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-42944
2. https://www.cvedetails.com/cve/CVE-2025-42944/
3. https://support.sap.com/en/my-support/knowledge-base/security-notes-news/october-2025.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-42944
5. https://vuldb.com/?id.323130
6. https://github.com/rxerium/CVE-2025-42944
7. https://nvd.nist.gov/vuln/detail/CVE-2025-42944
8. https://cwe.mitre.org/data/definitions/502.html