CVE-2025-8941

چکیده

آسیب‌پذیری CVE-2025-8941 در ماژول pam_namespace سیستم Linux-PAM، ناشی از پچ ناقص ضعف CVE-2025-6020 است و به کاربران لوکال اجازه می‌دهد با ترکیب حملات لینک نمادین (symlink)، شرایط رقابتی (race condition) و پیمایش مسیر (path traversal)، محدودیت‌های مسیر را دور بزنند و سطح دسترسی خود را تا سطح root افزایش دهند.

توضیحات

آسیب‌پذیری CVE-2025-8941 ناشی از کنترل ناکافی مسیرها و خروج از دایرکتوری محدود یا Path-Traversal مطابق با CWE-22 در ماژول pam_namespace مربوط به Linux-PAM است. این ضعف درواقع نتیجه‌ی پچ ناقص آسیب‌پذیری CVE-2025-6020 است. پچ قبلی تنها بخشی از آسیب پذیری پیمایش مسیر را پوشش داده و در برابر حملات لینک‌های نمادین (Symlink Attacks) و شرایط رقابتی (Race Conditions)، ایمنی کامل ایجاد نکرده است. در نتیجه، یک کاربر لوکال با سطح دسترسی عادی می‌تواند مسیرهایی را که تحت کنترل او قرار دارند دستکاری کند و بدون نیاز به قابلیت‌های ویژه یا آسیب‌پذیری‌های کرنل، سطح دسترسی خود را تا سطح root افزایش دهد.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است. مهاجم لوکال می‌تواند با استفاده از اسکریپت‌ها یا ابزارهای خودکار و بدون نیاز به تعامل کاربر، در دایرکتوری‌های چندنمونه‌ای (Polyinstantiated) لینک‌های نمادین ایجاد کند. سپس با سوءاستفاده از شرایط رقابتی، مسیرهای پیمایش‌شده (مانند ‎etc_passwd‎) را در زمان مناسب تزریق کند تا به فایل‌های حساس دسترسی پیدا کند یا آنها را بازنویسی نماید. برای مثال، مهاجم می‌تواند یک لینک نمادین به فایل‌هایی مانند etc_passwd‎ (شامل هش گذرواژه‌ها) یا فایل‌های اجرایی دارای مجوز SUID ایجاد کند و از این طریق به دسترسی کامل root shell یا اجرای کد با سطح دسترسی root برسد. این حمله در محیط‌های چندکاربره مانند سرورهای ترمینال، سیستم‌های اشتراکی، محیط‌های میزبان کانتینر یا سرورهای سازمانی ریسک بالایی دارد، زیرا یک کاربر مخرب می‌تواند به‌عنوان نقطه نفوذ اولیه عمل کند و با زنجیره‌سازی (Chaining) این آسیب‌پذیری با ضعف‌های دیگر، دسترسی پایدار ایجاد کرده، علائم نفوذ را پنهان کند یا کنترل کامل سیستم را به‌دست آورد. پیامدهای امنیتی آسیب‌پذیری شامل محرمانگی با افشای فایل‌های حساس مانند گذرواژه‌ها، تنظیمات امنیتی یا کلیدهای رمزنگاری، یکپارچگی با دستکاری یا بازنویسی فایل‌های حیاتی سیستم، کتابخانه‌ها یا باینری‌ها و دسترس‌پذیری با ایجاد اختلال یا کرش در مکانیزم‌های احراز هویت و ماژول PAM است.

این آسیب‌پذیری تنها در شرایطی رخ می‌دهد که pam_namespace برای دایرکتوری‌هایی که کاربران قادر به کنترل آن‌ها هستند فعال باشد و روش‌های محافظتی مناسب مانند محدودیت سختگیرانه مسیرها یا غیرفعال‌سازی symlink ها پیکربندی نشده باشد.

کد اثبات مفهومی (PoC) عمومی نیز در GitHub منتشر شده است که شامل اسکریپت Python (فایل pam-exploit.py با گزینه‌های threads و triggers برای ایجاد شرایط رقابتی)، برنامه C (فایل pam-exploit.c برای بهره‌برداری مستقیم) و اسکریپت Bash (فایل check-vuln.sh برای بررسی وجود آسیب‌پذیری) است. این PoC تنها به دسترسی لوکال نیاز دارد و به‌وضوح نشان می‌دهد که افزایش دسترسی تا سطح root امکان‌پذیر است.

این ضعف امنیتی در نسخه‌های upstream (سورس اصلی پروژه) برطرف شده و پچ های رسمی در به‌روزرسانی‌های ارائه‌شده توسط توزیع‌هایی مانند Red Hat اعمال شده‌اند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Linux-pam را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Linux-PAM، به‌ویژه در توزیع‌های مبتنی بر Red Hat، امکان افزایش سطح دسترسی لوکال را از طریق پیمایش مسیر، حملات لینک‌های نمادین و شرایط رقابتی فراهم می‌کند و می‌تواند در محیط‌های چندکاربره یا کانتینری منجر به دسترسی root، افشای داده‌های حساس یا ایجاد اختلال در سرویس شود. با توجه به انتشار پچ‌های کامل در upstream و ارائه RHSAهای رسمی و همچنین وجود PoC عمومی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام نسخه‌های آسیب‌پذیر RHEL و محصولات وابسته را به نسخه‌های پچ‌شده ارتقا دهید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• غیرفعال‌سازی یا محدودسازی pam_namespace: اگر ماژول pam_namespace ضروری نیست، آن را در فایل‌های پیکربندی PAM غیرفعال کنید. در صورت نیاز، آن را فقط برای دایرکتوری‌هایی پیکربندی کنید که کاربران امکان کنترل یا ایجاد symlink در آن‌ها را ندارند تا مسیرهای حمله مسدود شوند.
• تقویت امنیت فایل‌سیستم: از ابزارهایی مانند SELinux در حالت Enforcing برای اعمال سیاست‌های محافظتی بر pam_namespace استفاده کنید و دسترسی به دایرکتوری‌های polyinstantiated را محدود سازید؛ همچنین، استفاده از AppArmor نیز می‌تواند سطح کنترل بر عملیات PAM را تقویت کند و ریسک سوءاستفاده را کاهش دهد.
• نظارت و ثبت لاگ: لاگ‌های PAM (‎/var/log/secure‎) و سیستم حسابرسی auditd را با سطح مناسب فعال کنید و رویدادهای مشکوک مربوط به symlink و دسترسی‌های غیرعادی را نظارت کنید. از پلتفرم‌های SIEM مانند ELK Stack برای تحلیل بلادرنگ لاگ‌ها استفاده کنید و هشدارهایی برای تغییرات در symlink یا مسیرهای حساس تنظیم کنید.
• ایزوله‌سازی محیط‌ها: سیستم‌های چندکاربره را تا حد امکان در محیط‌های ایزوله مانند Podman یا Docker اجرا کنید و دسترسی لوکال را با فایروال میزبان محدود کنید. در OpenShift، از Network Policies برای کنترل ارتباط میان namespaces بهره ببرید.
• تست امنیتی: سیستم‌ها را با ابزارهای تحلیل مانند Lynis (اسکنر امنیتی لینوکس) یا OpenVAS (اسکنر آسیب‌پذیری) بررسی کنید تا سناریوهای پیمایش مسیر یا شرایط رقابتی شناسایی شود؛ همچنین، از Fuzzing (تست تصادفی ورودی) برای ارزیابی مقاومت pam_namespace استفاده نمایید و تست‌های نفوذ دوره‌ای (Penetration Testing) با تمرکز بر افزایش دسترسی لوکال انجام دهید.
• آموزش مدیران: تیم‌های ادمینی را درباره ریسک‌های pam_namespace، ضرورت پیکربندی امن PAM و زنجیره سازی با CVE-2025-6020 آموزش دهید تا خطاهای پیکربندی کاهش یابد.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع، غیرفعال‌سازی ماژول های غیر ضروری و نظارت مداوم، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت مکانیزم احراز هویت در سیستم‌های Red Hat را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
در این سناریو هیچ نوع دسترسی اولیه از راه دور مطرح نیست؛ مهاجم باید لوکال یوزر واقعی روی سیستم باشد. فعال بودن pam_namespace برای دایرکتوری‌های قابل‌نوشتن کاربر عملاً سطح ورود ضروری را فراهم می‌کند و مهاجم از همین نقطه به‌عنوان پایگاه حمله استفاده می‌کند.

Execution (TA0002)
اجرای کد با سطح کاربر عادی انجام می‌شود و سپس از طریق ایجاد Symlink و بهره‌برداری از شرایط رقابتی در زمان اجرای PAM، مسیر فایل‌های بحرانی مثل ‎etc passwd یا etc shadow به سمت هدف آلوده هدایت می‌شود. این فرآیند با اسکریپت‌های PoC موجود به‌صورت خودکار قابل اجراست و در نهایت موجب اجرای کد با سطح root می‌شود.

Privilege Escalation (TA0004)
مهاجم لوکال با سوءاستفاده از Path Traversal و Race Condition در pam_namespace می‌تواند به فایل‌های سیستم دسترسی یافته یا آنها را بازنویسی کند و در نتیجه سطح دسترسی خود را به root ارتقا دهد.

Credential Access (TA0006)
به‌دلیل امکان نوشتن یا خواندن فایل‌های حساس مانند ‎etc shadow‎ یا ‎etc passwd‎، مهاجم می‌تواند هش گذرواژه‌ها را استخراج کرده یا فایل‌ها را دستکاری کند. این کار امکان سرقت یا ایجاد حساب با دسترسی بالا را فراهم می‌سازد.

Defense Evasion (TA0005)
مهاجم با کنترل مسیرها و استفاده از Symlink می‌تواند آثار دسترسی یا فایل‌های تغییر یافته را از طریق بازنویسی فایل‌های لاگ یا تغییر مسیر فایل‌ها پنهان کند. بهره‌برداری race condition نیز ردپا را به حداقل می‌رساند چون زمان‌بندی حمله بسیار کوتاه و پراکنده است.

Impact (TA0040)
خروجی نهایی با دسترسی کامل root همراه است؛ مهاجم می‌تواند فایل‌های حساس را بازنویسی، کتابخانه‌ها یا باینری‌های حیاتی را جایگزین، حساب‌های سطح بالا ایجاد یا امنیت سیستم را مختل کند. تأثیر این حمله شامل از بین رفتن محرمانگی، یکپارچگی و دسترس‌پذیری است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-8941
2. https://www.cvedetails.com/cve/CVE-2025-8941/
3. https://access.redhat.com/security/cve/CVE-2025-8941
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8941
5. https://vuldb.com/?id.319946
6. https://bugzilla.redhat.com/show_bug.cgi?id=2388220
7. https://github.com/N3k0t-dev/PoC-CVE-collection
8. https://nvd.nist.gov/vuln/detail/CVE-2025-8941
9. https://cwe.mitre.org/data/definitions/22.html