خانه » CVE-2025-68615
هشدار‌های سایبری

CVE-2025-68615

Net-SNMP snmptrapd crash

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 197 بازدید
هشدار سایبری CVE-2025-68615
  • شناسه CVE-2025-68615 :CVE
  • CWE-119 :CWE
  • yes :Advisory
  • منتشر شده: دسامبر 22, 2025
  • به روز شده: دسامبر 22, 2025
  • امتیاز: 9.8
  • نوع حمله: Buffer Overflow
  • اثر گذاری: Denial of Service (Dos)
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: net-snmp
  • محصول: net-snmp
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری بحرانی از نوع سرریز بافر (Buffer Overflow) در دیمون snmptrapd مجموعه نرم‌افزاری Net‑SNMP شناسایی شده است. این ضعف امنیتی با ارسال یک بسته SNMP دستکاری‌شده، از راه دور و بدون نیاز به احراز هویت، منجر به کرش دیمون و انکار سرویس (DoS) می‌شود.

توضیحات

آسیب‌پذیری CVE-2025-68615 در دیمون snmptrapd (SNMP Trap Daemon) متعلق به پروژه Net‑SNMP شناسایی شده است. Net‑SNMP یک مجموعه متن‌باز شامل کتابخانه‌ها، ابزارها و دیمون‌های مرتبط با SNMP (پروتکل مدیریت شبکه) است که به‌طور گسترده برای مانیتورینگ و مدیریت تجهیزات شبکه مورد استفاده قرار می‌گیرد. دیمون snmptrapd مسئول دریافت و پردازش پیام‌های SNMP Trap می‌باشد؛ این پیام‌ها اعلان‌هایی ناهمگام هستند که توسط دستگاه‌های شبکه برای گزارش رویدادها، خطاها یا تغییر وضعیت به سامانه‌های مدیریتی ارسال می‌شوند.

ریشه این آسیب‌پذیری محدودسازی نامناسب عملیات در محدوده حافظه مطابق با CWE‑119 است. در نسخه‌های آسیب‌پذیر Net‑SNMP، هنگام پردازش یک بسته SNMP دستکاری‌شده، بررسی و کنترل صحیح طول داده و اندازه بافر انجام نمی‌شود. این ضعف منجر به سرریز بافر (Buffer Overflow) در حافظه دیمون snmptrapd شده و در نهایت باعث کرش فرآیند دیمون می‌گردد.

از منظر بهره‌برداری، این آسیب‌پذیری کاملاً از راه دور قابل سوءاستفاده است و هیچ نیازی به احراز هویت یا تعامل کاربر ندارد. مهاجم تنها با ارسال یک بسته SNMP مخرب از طریق پروتکل UDP به پورتی با سرویس snmptrapd فعال (به‌صورت پیش‌فرض پورت 162/UDP) می‌تواند حمله را انجام دهد. این موضوع امکان سوءاستفاده گسترده در محیط‌های شبکه‌ای بزرگ را فراهم می‌کند.

پیامد اصلی این آسیب‌پذیری، ایجاد کرش و انکار سرویس (DoS) است؛ زیرا فرآیند دریافت و پردازش اعلان‌های SNMP متوقف می‌شود. با توجه به نقش حیاتی SNMP Trapها در سامانه‌های مانیتورینگ و مدیریت شبکه، این اختلال می‌تواند موجب از دست رفتن دید عملیاتی، تأخیر در تشخیص حملات و کاهش قابلیت نظارت بر زیرساخت شود. همچنین، با توجه به ماهیت سرریز بافر این ضعف امنیتی می‌تواند تأثیر بالایی بر محرمانگی، یکپارچگی و در دسترس‌پذیری داشته باشد و درسناریوهای پیشرفته، امکان افشای اطلاعات حافظه یا دستکاری وضعیت پردازش نیز وجود دارد. تیم توسعه Net‑SNMP این آسیب‌پذیری را در نسخه‌های 5.9.5 و 5.10.pre2 پچ کرده است.

CVSS

Score Severity Version Vector String
9.8 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected at < 5.9.5

affected at >= 5.10.pre1, < 5.10.pre2

 net-snmp

لیست محصولات بروز شده

Versions Product
5.9.5, 5.10.pre2 net-snmp

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که net-snmp را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
3,540 site:.ir “net-snmp” net-snmp

نتیجه گیری

این آسیب‌پذیری بحرانی در دیمون snmptrapd مجموعه نرم‌افزاری Net‑SNMP امکان کرش و انکار سرویس را بدون نیاز به احراز هویت فراهم می‌کند. سوءاستفاده از این ضعف می‌تواند پایداری و امنیت سامانه‌های مانیتورینگ و مدیریت شبکه را به‌طور جدی تحت تأثیر قرار دهد. با توجه به انتشار پچ امنیتی رسمی از سوی توسعه‌دهندگان Net‑SNMP، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

  • به‌روزرسانی فوری: تمام نصب‌های Net-SNMP را در اسرع وقت به نسخه‌های 9.5 و 5.10.pre2 یا بالاتر به‌روزرسانی کنید. این اقدام اصلی‌ترین، ساده‌ترین و مؤثرترین راهکار برای رفع کامل آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • محدودسازی دسترسی شبکه: پورت 162/UDP (یا هر پورتی که snmptrapd روی آن فعال است) نباید در معرض شبکه‌های عمومی قرار گیرد. با استفاده از فایروال شبکه یا فایروال میزبان، دسترسی به این سرویس را صرفاً به آدرس‌های IP معتبر و منابع مورد اعتماد محدود کنید.
  • غیرفعال‌سازی در صورت عدم نیاز: در صورتی که snmptrapd در محیط عملیاتی شما مورد استفاده قرار نمی‌گیرد، توصیه می‌شود این سرویس به‌طور کامل غیرفعال یا حذف شود تا سطح حمله کاهش یابد.
  • نظارت و تشخیص: از سامانه‌های تشخیص نفوذ شبکه (IDS) مانند Snort یا Suricata برای شناسایی ترافیک غیرعادی یا بسته‌های مشکوک SNMP استفاده کنید. همچنین، بررسی منظم لاگ‌های سیستم برای شناسایی کرش‌های مکرر snmptrapd اهمیت بالایی دارد.
  • اطمینان از اعمال پچ: پس از به‌روزرسانی، سیستم را با ابزارهای اسکن آسیب‌پذیری بررسی کنید تا از اعمال پچ اطمینان حاصل شود.
  • اصل حداقل دسترسی: دسترسی به سرورها و سامانه های مبتنی بر SNMP را محدود به کاربران و دستگاه‌های ضروری کنید و در صورت امکان از نسخه‌های امن‌تر پروتکل مانند SNMPv3 با پشتیبانی از احراز هویت و رمزنگاری استفاده نمایید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع نرم افزار و محدودسازی دسترسی شبکه، می‌تواند ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور مؤثری کاهش دهد و پایداری سیستم‌های مدیریت شبکه را تضمین ‌کند.

امکان استفاده در تاکتیک های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)
در یک سناریوی کلی، مهاجم می‌تواند از قابلیت دسترسی از راه دور و بدون احراز هویت به سرویس snmptrapd که روی پورت پیش‌فرض 162/UDP در حال شنود است استفاده کرده و با ارسال ترافیک ظاهراً مدیریتی اما ساختگی، خود را به زیرساخت مانیتورینگ و مدیریت شبکه نزدیک کند؛ بهره‌گیری از این ضعف در قالب دسترسی اولیه زمانی عملی است که این سرویس روی مرزهای کم‌اعتماد یا حتی از اینترنت قابل دسترس باشد، فایروال‌ها و ACLها روی ترافیک SNMP Trap محدودیت جدی اعمال نکرده باشند، تفکیک شبکه‌ای مناسبی بین سامانه‌های مانیتورینگ و سایر سگمنت‌ها برقرار نشده باشد و نسخه‌های آسیب‌پذیر Net-SNMP بدون نصب وصله‌های منتشرشده (مانند 5.9.5 و 5.10.pre2) در محیط عملیاتی فعال باقی مانده باشند.

​Execution (TA0002)
به صورت مفهومی، سرریز بافر در پردازش بسته SNMP دستکاری‌شده، در زمان اجرای حمله به مهاجم اجازه می‌دهد منطق عادی پردازش Trap در دیمون snmptrapd را مختل کرده و جریان اجرای برنامه را به سمت مسیرهای خطا یا توقف ناگهانی سوق دهد؛ هرچند سناریوی اصلی گزارش‌شده بر کرش و DoS متمرکز است، اما، همین قابلیت می‌تواند برای آزمایش پایداری، ایجاد شرایط غیرمنتظره در حافظه و در برخی پیاده‌سازی‌ها زمینه‌ساز سناریوهای پیچیده‌تر اجرای کد باشد، مشروط بر اینکه کنترل‌های سخت‌گیرانه در سطح حافظه مانند حفاظت از استک و ASLR به‌درستی فعال نشده باشند، بررسی طول داده‌ها و اندازه بافر در مسیرهای بحرانی ناقص باشد، لاگ‌های خطا اطلاعات کافی برای تنظیم دقیق ورودی‌های مخرب در اختیار مهاجم قرار دهند و فرآیند به‌روزرسانی به نسخه‌های ایمن Net-SNMP در سازمان به تعویق افتاده باشد.

Persistence (TA0003)
در یک نگاه کلی، هرچند ماهیت این ضعف مستقیماً بر ماندگاری بدافزار تمرکز ندارد، اما مهاجم می‌تواند با تکرار هدفمند بسته‌های SNMP مخرب و اتکا به اینکه سرویس‌های پایش و مدیریت معمولاً به صورت خودکار snmptrapd را پس از خطا مجدداً راه‌اندازی می‌کنند، نوعی «ماندگاری در سطح اخلال» ایجاد کند؛ این رویکرد زمانی مؤثر است که مکانیزم‌های بازیابی سرویس بدون اعمال محدودیت بر تعداد راه‌اندازی مجدد یا تحلیل علت کرش عمل کنند، نظارت دقیقی بر نرخ خطا و ریست سرویس وجود نداشته باشد، ساختار مانیتورینگ به‌گونه‌ای طراحی شده باشد که وابستگی بالایی به دریافت پیوسته Trapها داشته باشد و سیاست‌های عملیاتی برای قرنطینه یا از مدار خارج کردن سریع نسخه‌های آسیب‌پذیر پس از مشاهده رفتار غیرعادی تدوین و اجرا نشده باشند.

Defense Evasion (TA0005)
در فاز اجرای حمله، مهاجم می‌تواند بسته‌های SNMP مخرب را در میان حجم بزرگی از Trapهای ظاهراً عادی شبکه یا در قالب الگوهای عملیاتی معمول سیستم‌های پایش ارسال کند تا رفتار مخرب در دل ترافیک مدیریتی پنهان بماند و کرش‌های متناوب snmptrapd به‌صورت خطاهای عادی سرویس یا مشکلات پایدار نبودن شبکه تلقی شوند؛ این امر زمانی امکان‌پذیر است که سامانه‌های SIEM و مانیتورینگ امنیتی روی تحلیل عمیق محتوای ترافیک SNMP یا همبستگی بین خطاهای daemon و الگوی ترافیک تمرکز نداشته باشند، آستانه‌های هشدار برای تعداد یا تناوب کرش‌های snmptrapd به‌درستی تنظیم نشده باشد، لاگ‌های مربوط به خطاهای ناشی از سرریز بافر با دقت کافی بررسی نشوند و قواعد تشخیص ناهنجاری برای ترافیک UDP روی پورت 162 در سطح شبکه و میزبان به صورت فعال پیاده‌سازی نشده باشند.

Impact (TA0040)
پیامد این آسیب‌پذیری در سطح تاکتیک Impact عمدتاً بر انکار سرویس و از بین رفتن دید مانیتورینگ متمرکز است، زیرا با هر بار بهره‌برداری موفق از سرریز بافر در snmptrapd، فرآیند دریافت و پردازش Trapها متوقف شده و سامانه‌های مدیریت شبکه از دریافت اعلان‌های بلادرنگ درباره خرابی‌ها، تغییر وضعیت‌ها و حتی حملات دیگر محروم می‌شوند؛ در یک محیط عملیاتی وسیع، تداوم یا تکرار این وضعیت می‌تواند موجب شود رویدادهای حیاتی بدون ثبت و هشدار باقی بمانند، زمان تشخیص حوادث امنیتی و عملیاتی به شکل محسوسی افزایش یابد، تصمیم‌گیری مبتنی بر وضعیت واقعی زیرساخت مختل شود و در نهایت، سازمان با ریسک بروز اختلالات زنجیره‌ای در سرویس‌های کلیدی، از دست رفتن اعتماد به سازوکار مانیتورینگ و دشوار شدن فرایند تحلیل پساحمله مواجه گردد، به‌ویژه اگر این سرویس در مرکز زنجیره نظارتی و هماهنگی عملیات شبکه قرار داشته باشد و برای مدت قابل توجهی بدون وصله و بدون مکانیزم‌های جایگزین یا افزونه (redundancy) در معرض حمله باقی بماند

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-68615
  2. https://www.cvedetails.com/cve/CVE-2025-68615/
  3. https://github.com/net-snmp/net-snmp/security/advisories/GHSA-4389-rwqf-q9gq
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-68615
  5. https://vuldb.com/?id.337827
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-68615
  7. https://cwe.mitre.org/data/definitions/119.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.