- شناسه CVE-2025-4575 :CVE
- CWE-295 :CWE
- yes :Advisory
- منتشر شده: می 22, 2025
- به روز شده: می 22, 2025
- امتیاز: 6.5
- نوع حمله: Certificate validation bypass
- اثر گذاری: Unknown
- حوزه: پروتکلهای رمزگذاری و ارتباطی
- برند: OpenSSL
- محصول: OpenSSL
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری اعتبارسنجی نادرست گواهی در ابزار خط فرمان openssl X509 نسخه 3.5 شناسایی شده است. در این ضعف امنیتی ابزار خط فرمان openssl x509، هنگام استفاده از گزینه -addreject ، بهجای علامتگذاری گواهی برای کاربرد رد شده، به اشتباه آن را بهعنوان کاربرد معتبر ثبت میکند. این آسیب پذیری تنها کاربرانی را تحت تأثیر قرار میدهد که از گواهیهای معتبر (trusted certificate) استفاده کرده و قصد افزودن کاربردهای رد شده با این ابزار را دارند.
توضیحات
آسیبپذیری CVE-2025-4575 در ابزار خطفرمان openssl X509 (ابزار مدیریت گواهیهای X.509 در OpenSSL) ناشی از اعتبارسنجی نادرست گواهی مطابق با CWE-295 است. این ضعف زمانی رخ میدهد که گزینه addreject برای افزودن کاربردهای ردشده (rejected use) به یک گواهی استفاده میشود، اما به دلیل خطای copy & paste در بازسازی جزئی کد (refactoring) در نسخه 3.5، به اشتباه همان کاربرد به فهرست استفادههای معتبر (trusted use) اضافه میشود.
برای مثال، اگر یک گواهی CA معتبر باید فقط برای احراز هویت سرورهای TLS معتبر باشد اما برای تأیید امضای CMS (استاندارد امضاهای دیجیتال) رد شود و کاربر از گزینه addreject برای CMS استفاده کند، نتیجه برعکس میشود و گواهی برای CMS نیز معتبر تلقی میشود. این ضعف تنها کاربران ابزار خطفرمان X509 که مدیریت دستی گواهیهای معتبر (trusted certificate) انجام میدهند، مانند ایجاد trust storeهای سفارشی، را تحت تأثیر قرار میدهد.
بهرهبرداری از این ضعف ساده است؛ کاربر میتواند با اجرای دستورات X509 در اسکریپت یا ابزار خودکار و بدون نیاز به تعامل بیشتر، trust storeهای مخرب ایجاد کند که باعث پذیرش گواهیهای نامعتبر در کاربردهای خاص میشود. پیامدهای این ضعف شامل دور زدن محدودیتهای استفاده از گواهی و کاهش امنیت اعتبارسنجی است. این آسیبپذیری تنها OpenSSL 3.5.0 را تحت تأثیر قرار میدهد و ماژولهای FIPS، نسخههای 3.4 و پایینتر و همچنین نسخههای 1.x تحت تأثیر نیستند. ضعف در نسخه 3.5.1 پچ شده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 3.5.0 before 3.5.1 | OpenSSL |
لیست محصولات بروز شده
| Versions | Product |
| 3.5.1 | OpenSSL |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که OpenSSL را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 65,700 | site:.ir “OpenSSL” | OpenSSL |
نتیجه گیری
این آسیبپذیری با شدت متوسط در ابزار openssl X509 باعث میشود عملکرد گزینه -addreject تغییر کند و گواهیها بهطور ناخواسته در کاربردهای خاص معتبر شناخته شوند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش ریسک ضروری است:
- بهروزرسانی فوری: در اسرع وقت OpenSSL را به نسخه 3.5.1 یا بالاتر به روزرسانی کنید؛ برای شاخههای قدیمیتر، نیازی به اقدام نیست.
- بررسی trust storeها: trust storeهایی که با x509 در نسخه 3.5.0 ایجاد شدهاند را بررسی و در صورت لزوم -addreject را مجدداً اعمال کنید. از ابزارهایی مانند openssl verify برای اعتبارسنجی استفاده نمایید.
- اجتناب از مدیریت دستی: تا حد امکان از فرمت trusted certificate استفاده نکرده و به جای آن از سیستمهای مدیریت گواهی سیستم عامل (مانند trust anchors در /etc/ssl/certs) یا کتابخانههای پیشرفتهتر مانند GnuTLS بهره ببرید.
- نظارت و ثبت لاگ: لاگهای مربوط به ایجاد trust store در نسخه آسیبپذیر را بررسی کنید و با اسکریپتهای خودکار، OIDهای مربوط به trust و reject را اعتبارسنجی نمایید.
- ایزولهسازی: عملیات x509 را در محیطهای ایزولهشده یا کانتینری (مانند Docker با نسخه پچشده) اجرا کنید تا تأثیر خطاهای انسانی محدود شود.
- آموزش توسعهدهندگان: تیمهای فنی را درباره ریسکهای مدیریت دستی گواهی و بهترین شیوههای OpenSSL، شامل رعایت سیاستهای امنیتی، آموزش دهید.
اجرای این اقدامات، بهویژه بهروزرسانی سریع و بازبینی trust storeها، ریسک پذیرش گواهیهای نامعتبر را به حداقل میرساند و امنیت اعتبارسنجی در کاربردهای OpenSSL را حفظ میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم میتواند با تحمیل یا توزیع یک trust-store ساختهشده یا اسکریپت خودکار حاوی دستورات openssl x509 -addreject به اپراتور/ادمین هدف (مثلاً از طریق بستههای نصب، اسکریپتهای مدیریت یا زنجیره تأمین نرمافزار) نقطه ورود عملی برای سوءاستفاده ایجاد کند
Persistence (TA0003)
trust‑storeهای مخرب یا فایلهای پیکربندی که با خطای -addreject ساخته شدهاند، میتوانند بهعنوان مکانیزم پایداری عمل کنند — تا زمانی که آن trust store روی سیستم یا در تصاویر توزیع باشد، مهاجم میتواند بارها و بارها از آن سوءاستفاده کند.
Defense Evasion (TA0005)
بهرهبرداری باعث میشود گواهیهایی که قرار بوده در برخی کاربردها رد شوند، بهاشتباه معتبر علامتگذاری شوند و در نتیجه مکانیزمهای مبتنی بر trust validation مثلاً بررسی استفاده مجاز گواهی در TLS یا CMS کارایی خود را از دست بدهند؛ این وضعیت مستقیماً امکان دورزدن کنترلهای مبتنی بر گواهی را فراهم میکند و مهاجم یا بدافزار میتواند با تکیه بر trust-store مخرب، شناسایی یا مسدودسازی مبتنی بر اعتبارسنجی گواهی را بیاثر کند.
Impact (TA0040)
پیامد عملیاتی اصلی، کاهش اطمینان از اعتماد به گواهیها است؛ این میتواند منجر به پذیرش گواهیهای نامناسب در کاربردهای حساس شود. مثلاً قبول امضای CMS یا تأیید هویت TLS برای گواهیای که باید رد میشد. اثر مستقیم بر محرمانگی/یکپارچگی بهصورت غیرمستقیم از طریق پذیرش گواهی نامعتبر رخ میدهد
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-4575
- https://www.cvedetails.com/cve/CVE-2025-4575/
- https://openssl-library.org/news/secadv/20250522.txt
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-4575
- https://vuldb.com/?id.309981
- https://github.com/openssl/openssl/commit/e96d22446e633d117e6c9904cb15b4693e956eaa
- http://www.openwall.com/lists/oss-security/2025/05/22/1
- https://nvd.nist.gov/vuln/detail/cve-2025-4575
- https://cwe.mitre.org/data/definitions/295.html
