CVE-2025-57199

چکیده

آسیب‌پذیری Command Injection پس از احراز هویت در باینری NetFailDetectD فریم‌ور DGM1104 (نسخه FullImg-1015-1004-1006-1003) محصولات AVTECH، به مهاجمان معتبر اجازه اجرای فرمان‌های root و RCE را می‌دهد و کنترل کامل دستگاه را فراهم می‌کند.

توضیحات

آسیب‌پذیری CVE-2025-57199 در باینری NetFailDetectD مربوط به دوربین‌های IP شرکت AVTECH SECURITY Corporation شناسایی شده است. این ضعف امنیتی در فریم‌ور DGM1104 نسخه FullImg-1015-1004-1006-1003 و طیف گسترده‌ای از مدل‌های AVTECH وجود دارد.

NetFailDetectD یک دیمون سیستمی (Daemon) است که وظیفه بررسی وضعیت اتصال شبکه دستگاه را بر عهده دارد. این دیمون با ارسال پینگ‌های دوره‌ای (ICMP Echo Request) به یک آدرس میزبان پیکربندی‌شده، در دسترس بودن شبکه را بررسی می‌کند. در صورتی که پاسخی دریافت نشود، سیستم وجود مشکل شبکه را تشخیص داده و تلاش می‌کند مدیر دستگاه را از طریق SMTP (پروتکل استاندارد ارسال ایمیل) مطلع کند.

ریشه این آسیب‌پذیری، تزریق فرمان (Command Injection) پس از احراز هویت مطابق با CWE-77 است که ناشی از عدم خنثی‌سازی صحیح المنت‌های خاص در فرمان‌های سیستم‌عامل می‌باشد. باینری NetFailDetectD مقدار پیکربندی Network.NetworkFailureDetection.Address (آدرس میزبان مورد استفاده برای پینگ) را مستقیماً از حافظه فلش دستگاه می‌خواند. در فرآیند پردازش این مقدار، تنها کاراکترهای نقل‌قول دوتایی (“) و بک‌تیک (`) حذف می‌شوند؛ اما این فیلترینگ ناکافی بوده و در برابر روش‌های دیگر تزریق فرمان مقاوم نیست.

در نتیجه، مهاجم می‌تواند با استفاده از ساختار $() (جایگزینی فرمان یا Command Substitution در شل‌های لینوکسی که خروجی یک فرمان را در فرمان دیگر جایگذاری می‌کند)، فرمان دلخواه خود را در مقدار آدرس تزریق کند. سپس مقدار پردازش‌شده بدون ایمن‌سازی کافی، در قالب یک فرمان پینگ قرار گرفته و از طریق تابع popen اجرا می‌شود. تابع popen با ایجاد یک پایپ، انجام fork و فراخوانی شل سیستم، فرمان را اجرا می‌کند؛ بنابراین اگر ورودی کنترل‌شده توسط کاربر به آن داده شود، مستعد اجرای فرمان‌های تزریق‌شده خواهد بود. این عملکرد در عمل منجر به اجرای کد در سطح سیستم‌عامل می‌شود.

از منظر بهره‌برداری، این آسیب‌پذیری قابل اکسپلویت از راه دور بوده و تنها نیازمند دسترسی کاربری معتبر به رابط مدیریتی وب دستگاه است. مهاجم احراز هویت شده حتی با حداقل سطح دسترسی، می‌تواند با دستکاری ورودی دست‌کاری‌شده در فیلد Network.NetworkFailureDetection.Address، فرمان دلخواه خود را به سیستم تزریق کند. با توجه به اینکه دیمون NetFailDetectD با سطح دسترسی root اجرا می‌شود، فرمان تزریق‌شده نیز با همین سطح دسترسی اجرا خواهد شد که منجر به اجرای کد از راه دور (RCE) می‌گردد. این حمله نیازی به تعامل کاربر نهایی ندارد و از طریق رابط وب مدیریتی قابل انجام است.

کد اثبات مفهومی (PoC) این آسیب‌پذیری به‌صورت عمومی منتشر شده و شامل اسکریپتی به زبان پایتون است که فرآیند احراز هویت، تزریق فرمان و حتی برقراری شل معکوس (Reverse Shell) را خودکار می‌کند. این موضوع نشان‌دهنده عملی‌بودن حمله و سطح بالای ریسک آن است.

پیامدهای امنیتی این آسیب‌پذیری بسیار جدی ارزیابی می‌شود. از منظر محرمانگی ، مهاجم می‌تواند به داده‌های حساس و پیکربندی داخلی دستگاه دسترسی پیدا کند؛ از منظر یکپارچگی امکان تغییر پیکربندی‌ها، فایل‌های سیستمی یا ایجاد بدافزار وجود دارد و از نظر در دسترس‌پذیری نیز اجرای فرمان‌های مخرب می‌تواند منجر به اختلال در عملکرد یا توقف کامل دستگاه شود. در سناریوهای پیشرفته‌تر، دستگاه آسیب‌پذیر می‌تواند به‌عنوان نقطه ورود برای حملات جانبی در شبکه داخلی مورد استفاده قرار گیرد.

بر اساس اطلاعات موجود در رکورد CVE و مستندات منتشرشده، وضعیت انتشار پچ یا به‌روزرسانی رسمی از سوی شرکت AVTECH مشخص نشده و در حال حاضر اطلاعاتی مبنی بر رفع این آسیب‌پذیری به‌صورت رسمی منتشر نشده است.

CVSS

لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که AVTECH را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در باینری NetFailDetectD دوربین‌های IP شرکت AVTech امکان اجرای فرمان دلخواه پس از احراز هویت را برای مهاجم فراهم می‌کند. با توجه به اینکه تاکنون اطلاعات رسمی درباره انتشار پچ یا به‌روزرسانی امنیتی از سوی شرکت سازنده ارائه نشده است، این ضعف می‌تواند ریسک قابل‌توجهی برای شبکه‌های استفاده‌کننده از این محصولات ایجاد کند. بنابراین، اجرای اقدامات کاهشی و پیشگیرانه زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک به‌شدت توصیه می‌شود:

• جایگزینی یا ایزوله‌سازی: در صورت امکان، دستگاه‌های آسیب‌پذیر را از شبکه خارج کرده و با مدل‌های جدیدتر، به‌روز و دارای پشتیبانی فعال جایگزین نمایید. در غیر این صورت، این تجهیزات را در شبکه‌های ایزوله و بدون دسترسی مستقیم به اینترنت قرار دهید.
• تقویت احراز هویت: برای تمامی حساب‌های مدیریتی، از رمزهای‌عبور طولانی و پیچیده (Strong Passwords) استفاده کنید و دسترسی به رابط مدیریتی وب را صرفاً به شبکه‌های داخلی یا آدرس‌های IP مشخص محدود نمایید. در صورت پشتیبانی دستگاه، فعال‌سازی احراز هویت دومرحله‌ای (2FA) می‌تواند لایه امنیتی مؤثری ایجاد کند.
• نظارت و تشخیص تهدید: از راهکارهای نظارت امنیتی در سطح شبکه برای شناسایی ترافیک مشکوک مرتبط با دستگاه‌های AVTECH استفاده کنید. بررسی مستمر لاگ‌های سیستمی و پیکربندی، به‌ویژه مقادیر مرتبط با تشخیص وضعیت شبکه، می‌تواند به شناسایی زودهنگام نشانه‌های بهره‌برداری کمک کند.
• محدودسازی دسترسی: اصل حداقل دسترسی را اعمال کرده و دسترسی‌های غیرضروری به رابط مدیریتی را مسدود نمایید. همچنین استفاده از فایروال اپلیکیشن وب (WAF) برای فیلتر کردن ورودی‌های مخرب به اندپوینت‌های CGI می‌تواند احتمال موفقیت حملات تزریق فرمان را کاهش دهد.
• ارزیابی و تست: دستگاه‌ها را به‌صورت دوره‌ای با ابزارهای اسکن آسیب‌پذیری بررسی کرده و در محیط‌های کنترل‌شده از PoC عمومی منتشرشده برای ارزیابی میزان آسیب‌پذیری و اثربخشی اقدامات کاهشی استفاده نمایید.

اجرای این قدامات می‌تواند ریسک ناشی از این آسیب‌پذیری را به‌طور قابل‌توجهی کاهش داده و سطح امنیت کلی شبکه را در برابر حملات مشابه تقویت کند.

امکان استفاده در تاکتیک های Mitre Attack (در زمان اجرای حمله)

Execution (TA0002)

مهاجم با دسترسی معتبر به رابط وب، از تکنیک Command and Scripting Interpreter بهره می‌برد و با تزریق ساختار $() در فیلد Network.NetworkFailureDetection.Address، فرمان دلخواه را جایگزین پینگ ICMP می‌کند تا از طریق popen و شل root اجرا شود؛ این رویکرد زمانی کارساز است که دیمون NetFailDetectD فعال باشد و فیلترینگ محدود فقط نقل‌قول‌ها را حذف کند، بدون آنکه جایگزینی فرمان توسط نظارت لاگ یا WAF شناسایی گردد.

Privilege Escalation (TA0004)

پس از نفوذ اولیه، مهاجم از Exploitation for Privilege Escalation استفاده می‌کند تا فرمان‌های تزریقی در دیمون root-level را به دسترسی کامل سیستم‌عامل تبدیل نماید؛ شرط کلیدی، احراز هویت با اعتبار حداقلی و اجرای دوره‌ای NetFailDetectD است که بلافاصله پس از ذخیره پیکربندی، پردازش را آغاز می‌کند و مهاجم را بدون نیاز به تعامل اضافی به RCE می‌رساند.

Persistence (TA0003)

به منظور ماندگاری، مهاجم با Account Manipulation یا Scheduled Task/Job، از root shell برای ایجاد کرون‌جاب‌های پنهان یا تغییر فایل‌های startup بهره می‌گیرد؛ این تاکتیک موفق خواهد بود اگر دستگاه فاقد مکانیسم‌های integrity check باشد و مهاجم بتواند پس از تزریق اولیه، فرآیندهای خودکار شبکه را بدون اختلال در پینگ‌های دوره‌ای دستکاری کند.

Impact (TA0040)

این آسیب‌پذیری مهاجم را قادر می‌سازد تا با کنترل root بر دستگاه مسلط شود، جایی که افشای داده‌های حساس از ویدیوها تا تنظیمات شبکه رخ می‌دهد، یکپارچگی سیستم با نصب بکدور یا تغییر firmware نقض می‌گردد و دسترس‌پذیری با خاموش کردن سرویس‌های حیاتی مختل می‌شود؛ چنین ضعفی در تجهیزات امنیتی، درب ورودی به شبکه‌های بزرگتر را باز کرده و با نبود پچ، تهدیدی مداوم برای زیرساخت‌ها ایجاد می‌کند

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-57199
2. https://www.cvedetails.com/cve/CVE-2025-57199/
3. https://github.com/xchg-rax-rax/vulnerability-research/tree/main/CVE-2025-57199
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-57199
5. https://vuldb.com/?id.334173
6. https://xchg-rax-rax.github.io/2025/10/13/avtech_vulnerabilites.html
7. https://github.com/xchg-rax-rax/AvTech-PoCs/blob/main/network_failure_check_poc.py
8. https://nvd.nist.gov/vuln/detail/CVE-2025-57199
9. https://cwe.mitre.org/data/definitions/77.html