CVE-2025-9042

چکیده

آسیب‌پذیری در دستگاه Rockwell Automation FLEX 5000 I/O مدل 5094-IY8 به دلیل مدیریت نادرست درخواست‌های CIP کلاس 32 در حالت غیرفعال (inhibited) شناسایی شده است. این آسیب پذیری باعث می‌شود ماژول وارد حالت خطا (fault state) شده و LED ماژول به‌صورت قرمز چشمک بزند. پس از فعال‌سازی مجدد، ماژول خطای اتصال (Code 16#0010) نشان داده که بدون چرخه خاموش و روشن (power cycle) قابل بازیابی نیست.

توضیحات

آسیب‌پذیری CVE-2025-9042 از نوع اعتبارسنجی نادرست نوع ورودی مشخص‌شده (مطابق با CWE-1287) است که در ماژول‌های FLEX 5000 I/O مدل 5094-IY8 شرکت Rockwell Automation رخ می‌دهد. این آسیب پذیری به شرایطی اشاره دارد که برنامه ورودی‌هایی با نوع خاص را بدون اعتبارسنجی کافی پردازش می‌کند و منجر به عملکردهای غیرمنتظره یا خطا می شود.

در این مورد، درخواست‌های CIP (Common Industrial Protocol) کلاس 32 که در حالت غیرفعال ماژول ارسال شده، به‌طور نادرست مدیریت می‌شوند. در نتیجه، ماژول وارد حالت خطا شده و LED آن به رنگ قرمز چشمک می زند. پس از فعال‌سازی مجدد (un-inhibiting)، ماژول خطای اتصال Code 16#0010 را نشان داده که بدون انجام چرخه خاموش و روشن قابل بازیابی نیست.

این حمله از راه دور قابل اجرا است، نیازی به سطح دسترسی اولیه ندارد، بدون تعامل کاربر انجام می‌شود و پیچیدگی پایینی دارد. پیامد این ضعف صرفاً بر در دسترس پذیری سیستم است و هیچ تأثیری بر محرمانگی یا یکپارچگی ندارد.

شرکت Rockwell Automation این آسیب پذیری را در نسخه‌های 2.011 و بالاتر پچ کرده است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 نتیجه گیری

با توجه به شدت بالای این آسیب‌پذیری و اثر مستقیم آن بر دسترس‌پذیری (Availability) در سامانه‌های اتوماسیون صنعتی، توصیه می‌شود تمامی کاربران ماژول‌های Rockwell Automation FLEX 5000 I/O در اسرع وقت نسبت به ارتقای نسخه‌ی سیستم‌افزار (Firmware) به نسخه‌های امن 2.012 و بالاتر اقدام کنند. در سناریوهایی که به‌روزرسانی فوری امکان‌پذیر نیست، لازم است اقدامات جایگزین با رویکرد دفاع در عمق (Defense-in-Depth) اجرا شوند. این اقدامات شامل محدودسازی سطح حمله از طریق فایروال‌های صنعتی، جداسازی شبکه‌های I/O از شبکه‌های عمومی یا غیرمطمئن (Network Segmentation) و مانیتورینگ فعال پروتکل CIP برای شناسایی و مسدودسازی درخواست‌های غیرعادی کلاس 32 است. علاوه بر آن، اپراتورها باید به‌طور مستمر وضعیت عملیاتی ماژول‌ها را رصد کنند؛ نشانه‌هایی مانند LED قرمز چشمک‌زن یا بروز خطای اتصال Code 16#0010 می‌تواند شاخص بروز حمله یا سوء‌استفاده از این ضعف باشد. در چنین شرایطی، برنامه‌ریزی برای انجام چرخه Power Cycle به‌عنوان اقدام اصلاحی موقت ضروری است. اجرای هم‌زمان این اقدامات موجب افزایش تاب‌آوری (Resilience) شبکه‌های صنعتی در برابر حملات مبتنی بر CIP شده و از بروز Downtime ناخواسته در خطوط تولید و سیستم‌های کنترل جلوگیری می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

• Tactic (TA0001) – Initial Access
  Sub-technique (T1190) – Exploit Public-Facing Application
  مهاجم می‌تواند از طریق ارسال درخواست‌های مخرب CIP Class 32 به ماژول FLEX 5000 I/O که روی شبکه صنعتی در دسترس است، آسیب‌پذیری را از راه دور اکسپلویت کند. این حمله بدون نیاز به احراز هویت یا تعامل کاربر انجام می‌شود.
• Tactic (TA0040) – Impact
  Sub-technique (T1499.004) – Endpoint Denial of Service: Application or System Exploitation
  ارسال درخواست‌های غیرمعتبر باعث می‌شود ماژول وارد حالت خطا (fault state) شده، LED به رنگ قرمز چشمک بزند و بدون انجام Power Cycle قابل بازیابی نباشد. این رفتار منجر به اختلال کامل در دسترس‌پذیری سیستم‌های اتوماسیون صنعتی می‌شود و سایر عملکردهای شبکه صنعتی را تحت تأثیر قرار می‌دهد.
• Tactic (TA0005) – Defense Evasion
  Sub-technique (T1499) – Endpoint Denial of Service
  ماهیت ترافیک CIP Class 32 می‌تواند مشابه درخواست‌های قانونی شبکه صنعتی باشد و تشخیص آن توسط مکانیزم‌های مانیتورینگ سطحی دشوار است. مهاجم با تنظیم نرخ ارسال درخواست‌ها می‌تواند تشخیص الگوهای غیرعادی را پیچیده‌تر کند و از مکانیزم‌های ساده تشخیص و واکنش جلوگیری نماید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9042
2. https://www.cvedetails.com/cve/CVE-2025-9042/
3. https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1737.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9042
5. https://vuldb.com/?id.320160
6. https://nvd.nist.gov/vuln/detail/CVE-2025-9042
7. https://cwe.mitre.org/data/definitions/1287.html