CVE-2025-9041

چکیده

آسیب‌پذیری در دستگاه Rockwell Automation FLEX 5000 I/O مدل 5094-IF8 به دلیل مدیریت نادرست درخواست‌های CIP کلاس 32  در حالت غیرفعال (inhibited) شناسایی شده است. این آسیب پذیری باعث می‌شود ماژول وارد حالت خطا (fault state) شده و LED ماژول به‌صورت قرمز چشمک بزند. پس از فعال‌سازی مجدد، ماژول خطای اتصال (Code 16#0010) نشان داده که بدون چرخه خاموش و روشن (power cycle) قابل بازیابی نیست.

توضیحات

آسیب‌پذیری CVE-2025-9041 از نوع اعتبارسنجی نادرست نوع ورودی مشخص‌شده (مطابق با CWE-1287) است که در ماژول‌های FLEX 5000 I/O مدل 5094-IF8  شرکت Rockwell Automation رخ می‌دهد. این آسیب پذیری به شرایطی اشاره دارد که برنامه ورودی‌هایی با نوع خاص را بدون اعتبارسنجی کافی پردازش می‌کند و منجر به عملکردهای غیرمنتظره یا خطا می شود.

در این مورد، درخواست‌های CIP (Common Industrial Protocol) کلاس 32 که در حالت غیرفعال ماژول ارسال شده، به‌طور نادرست مدیریت می‌شوند. در نتیجه، ماژول وارد حالت خطا شده و LED آن به رنگ قرمز چشمک می زند. پس از فعال‌سازی مجدد (un-inhibiting)، ماژول خطای اتصال Code 16#0010 را نشان داده که بدون انجام چرخه خاموش و روشن قابل بازیابی نیست.

این حمله از راه دور  قابل اجرا است، نیازی به سطح دسترسی اولیه ندارد، بدون تعامل کاربر انجام می‌شود و پیچیدگی پایینی دارد. پیامد این ضعف صرفاً بر در دسترس پذیری سیستم است و هیچ تأثیری بر محرمانگی یا یکپارچگی ندارد.

شرکت Rockwell Automation  این آسیب پذیری را در نسخه‌های 2.012 و بالاتر پچ کرده است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده 

نتیجه گیری

با توجه به شدت بالای آسیب‌پذیری CVE-2025-9041  و اثر مستقیم آن بر دسترس‌پذیری سیستم‌های صنعتی، ضروری است که تمامی کاربران ماژول‌های Rockwell Automation FLEX 5000 I/O  مدل 5094-IF8 در کوتاه‌ترین زمان ممکن ماژول‌های خود را به نسخه‌های 2.012  یا بالاتر ارتقاء دهند. در شرایطی که به‌روزرسانی فوری امکان‌پذیر نباشد، باید کنترل‌های جبرانی به‌کار گرفته شوند؛ از جمله محدودسازی سطح حمله از طریق فایروال و اعمال Access Control List (ACL)  برای جلوگیری از ارسال درخواست‌های غیرضروری CIP، جداسازی شبکه‌های صنعتی و تفکیک کامل آن‌ها از شبکه‌های  IT، نظارت فعال بر ترافیک CIP با استفاده از IDS/IPS  یا SIEM برای شناسایی الگوهای غیرعادی به‌ویژه درخواست‌های کلاس 32 در حالت inhibited، و بررسی مداوم وضعیت ماژول‌ها جهت شناسایی نشانه‌هایی مانند LED  قرمز چشمک‌زن یا رخداد خطای Code 16#0010 . همچنین، باید فرآیندی برای اجرای Power Cycle  در صورت بروز خطا تعریف شود تا امکان بازیابی سریع ماژول فراهم گردد. این اقدامات تکمیلی، همراه با ارتقاء به نسخه امن، می‌تواند ریسک بروز حملات Denial of Service (DoS)  پایدار را کاهش داده و پایداری سیستم‌های ICS/SCADA  را تضمین کند.

امکان استفاده در تاکتیک های Mitre Attack

• Tactic (TA0001) – Initial Access
  Sub-technique (T1190) – Exploit Public-Facing Application
  مهاجم می‌تواند از طریق ارسال درخواست‌های مخرب CIP Class 32 به ماژول FLEX 5000 I/O که روی شبکه صنعتی در دسترس است، آسیب‌پذیری را از راه دور اکسپلویت کند. این حمله بدون نیاز به احراز هویت یا تعامل کاربر انجام می‌شود.
• Tactic (TA0040) – Impact
  Sub-technique (T1499.004) – Endpoint Denial of Service: Application or System Exploitation
  ارسال درخواست‌های غیرمعتبر باعث می‌شود ماژول وارد حالت خطا (fault state) شده، LED به رنگ قرمز چشمک بزند و بدون Power Cycle قابل بازیابی نباشد. این موضوع منجر به اختلال کامل در دسترس‌پذیری سیستم‌های اتوماسیون صنعتی می‌شود.
• Tactic (TA0005) – Defense Evasion
  Sub-technique (T1499) – Endpoint Denial of Service
  ماهیت ترافیک CIP می‌تواند مشابه درخواست‌های عادی شبکه صنعتی باشد و این باعث می‌شود بسیاری از مکانیزم‌های مانیتورینگ ساده یا کنترل‌های سطحی قادر به تشخیص فوری حمله نباشند. مهاجم با تغییر نرخ ارسال درخواست‌ها می‌تواند تشخیص الگوهای غیرعادی را دشوارتر کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9041
2. https://www.cvedetails.com/cve/CVE-2025-9041/
3. https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1737.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9041
5. https://vuldb.com/?id.320152
6. https://nvd.nist.gov/vuln/detail/CVE-2025-9041
7. https://cwe.mitre.org/data/definitions/1287.html