- شناسه CVE-2025-9067 :CVE
- CWE-269 :CWE
- yes :Advisory
- منتشر شده: اکتبر 14, 2025
- به روز شده: اکتبر 14, 2025
- امتیاز: 8.5
- نوع حمله: Privilege Escalation
- اثر گذاری: Privileged Command Execution (SYSTEM)
- حوزه: تجهیزات صنعتی
- برند: Rockwell Automation
- محصول: FactoryTalk Linx
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری افزایش سطح دسترسی لوکال در FactoryTalk Linx مربوط به بسته Microsoft Installer (MSI) برای معماری x86 است. این ضعف به مهاجم احراز هویتشده با یک حساب کاربری معمولی ویندوز اجازه میدهد با سوءاستفاده از مکانیزم تعمیر (Repair)، پنجره کنسول فرآیند MSI را ربوده (Console Hijacking) و یک خط فرمان (Command Prompt) با سطح دسترسی SYSTEM اجرا کند. در نتیجه، مهاجم میتواند به تمام فایلها، فرآیندها (Processes) و منابع حساس سیستم دسترسی کامل پیدا کند.
توضیحات
آسیبپذیری CVE‑2025‑9067 ناشی از مدیریت نادرست سطح دسترسی مطابق با CWE‑269 در بسته Microsoft Installer (MSI) نسخه x86 مربوط به FactoryTalk Linx است. در معماری MSI ویندوز، هنگام اجرای عملیات نصب، به روزرسانی یا تعمیر (Repair)، سرویس Windows Installer (موتوررسمی نصب و مدیریت بسته های MSI ویندوز) قادر است برخی کامپوننت های نرمافزار را با سطح دسترسی SYSTEM اجرا کند؛ سطحی که بالاترین مجوز در ویندوز بوده و امکان کنترل کامل سیستم را فراهم میکند.
در این آسیبپذیری، اگر یک کاربر معتبر ویندوز حتی با حداقل دسترسی، عملیات Repair را از طریق محیط Programs and Features (کنسول مدیریت برنامه ها در ویندوز) یا از طریق خط فرمان (Command Prompt) آغاز کند، بسته MSI نسخه x86 در جریان اجرای وظایف خود یک پنجره کنسول باز میکند که برای نمایش خروجی عملیات تعمیر استفاده میشود. این پنجره که تحت کنترل فرآیند MSI و با سطح دسترسی SYSTEM ایجاد شده، فاقد هرگونه سازوکار جداسازی یا محدودسازی تعامل کاربر است.
مهاجم میتواند این پنجره کنسول را به علت وجود کنسول تعاملی ربوده (Hijack) و با وارد کردن ورودی از طریق صفحهکلید یا اجرای اسکریپت خودکار، دستورات دلخواه خود را مستقیماً در محیطی با سطح دسترسی SYSTEM اجرا کند. این مسئله از آنجا ناشی میشود که فرآیند Repair در نسخه x86 خروجی را در یک کنسول تعاملی نمایش میدهد و این تعامل بهطور ناخواسته در اختیار کاربر با سطح دسترسی پایین قرار میگیرد.
فرآیند بهرهبرداری بسیار ساده، قابل تکرار و کاملاً قابل خودکارسازی است. مهاجم تنها کافی است وارد سیستم شود، عملیات Repair را آغاز کند و بلافاصله پس از ظاهر شدن کنسول، دستورات را تزریق کند. این حمله نیازی به دسترسی مدیر سیستم، تأیید کاربر دیگر، حضور فیزیکی یا هیچگونه تعامل از سوی قربانی ندارد. همین موضوع این آسیبپذیری را برای بدافزارها و مهاجمان جذاب میکند، زیرا میتوانند بدون جلب توجه، یک خط فرمان یا هر فرآیند دیگری را با سطح SYSTEM اجرا کنند.
در صورت موفقیت، مهاجم به تمام فایلهای ویندوز، پیکربندی های حساس، دادههای مرتبط با زیرساخت صنعتی FactoryTalk و سایر منابع سطح بالا دسترسی پیدا می کند. توانایی تغییر تنظیمات امنیتی، غیرفعالسازی آنتیویروس یا فایروال ویندوز (Windows Firewall) ، نصب بدافزار ماندگار، دستکاری فرآیندهای حیاتی یا ایجاد اختلال در محیطهای ICS تنها بخشی از پیامدهای احتمالی است. دسترسی در سطح SYSTEM در عمل کنترل کامل سیستم را به مهاجم میدهد و میتواند تهدیدی جدی برای محیطهای عملیاتی و صنعتی ایجاد کند.
این ضعف در نسخه 6.50 و بالاتر FactoryTalk Linx بهطور کامل پچ شده و دیگر امکان ایجاد کنسول تعاملی Repair با سطح SYSTEM وجود ندارد.
CVSS
| Score | Severity | Version | Vector String |
| 8.5 | HIGH | 4.0 | CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 6.40 and prior | FactoryTalk Linx |
لیست محصولات بروز شده
| Versions | Product |
| 6.50 and later | FactoryTalk Linx |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که FactoryTalk Linx و Rockwell Automation را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 6 | site:.ir “FactoryTalk Linx” | FactoryTalk Linx |
| 6,690 | site:.ir “Rockwell Automation” | Rockwell Automation |
نتیجه گیری
این آسیبپذیری با شدت بالا از نوع افزایش سطح دسترسی لوکال در FactoryTalk Linx به مهاجمی با دسترسی یک حساب کاربری معمولی ویندوز اجازه میدهد کنترل کامل سیستم را از طریق اجرای فرآیندها با سطح SYSTEM به دست آورد. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از سوءاستفاده و کاهش ریسک ضروری است:
- بهروزرسانی فوری: تمام نصبهای FactoryTalk Linx را به نسخه 6.50 یا جدیدتر به روزرسانی کنید. این اقدام، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند
- اعمال بهروزرسانیهای مایکروسافت: آخرین پچها و به روزرسانی های مربوط به سرویس Windows Installer (موتور اجرای بستههای MSI) را نصب کنید. این بهروزرسانیها باعث بهبود ایمنی عملکرد تعمیر (Repair) در بستههای MSI میشوند و از اجرای ناامن فرآیندهای مرتبط با نصب یا تعمیر جلوگیری میکنند
- غیرفعال کردن عملیات Repair برای کاربران عادی: با استفاده از سیاستهای گروهی (Group Policy) یا AppLocker امکان اجرای عملیات Repair را برای کاربران غیرادمین مسدود کنید.
- مانیتورینگ پیشرفته: لاگهای ایجاد فرآیند (Process Creation) مانند Event ID 4688 در ویندوز را فعال کرده و برای اجرای MSI یا exe با دسترسی SYSTEM هشدار تنظیم کنید.
- استفاده از EDR/XDR: از راهکارهای تشخیص و پاسخ اندپوینت (EDR/XDR) برای شناسایی الگوهای سوءاستفاده از Repair، اجرای فرآیندهای غیرعادی و تلاش برای ربودن کنسول استفاده کنید.
- ایزولهسازی ایستگاههای صنعتی: ایستگاههای مانیتورینگ صنعتی HMI و ایستگاه های مهندسی Engineering Workstation را در شبکههای جداگانه (Segmented Network) قرار دهید و دسترسی Remote Desktop را محدود کنید.
با بهروزرسانی نرمافزار به نسخههای پچشده و پیادهسازی مجموعهای از بهترین روشهای امنیتی ویندوز و شبکه، میتوان ریسک این آسیبپذیری را بهطور چشمگیری کاهش داد و از سوءاستفاده مهاجمان برای دستیابی به دسترسی SYSTEM در زیرساختهای صنعتی مبتنی بر FactoryTalk Linx جلوگیری کرد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
در این آسیبپذیری، مهاجم نیازی به ورود از طریق شبکه یا فیشینگ ندارد و تنها با داشتن یک حساب کاربری معمولی ویندوز میتواند عملیات Repair بسته MSI را آغاز کند. این اقدام، نقطه ورود مستقیم لوکال محسوب میشود و باعث ایجاد یک پنجره کنسول با سطح دسترسی SYSTEM میشود.
Execution (TA0002)
اجرای کد از طریق Hijack کردن کنسول SYSTEM که توسط vbpinstall.exe ایجاد میشود انجام میشود. مهاجم با تعامل مستقیم با کنسول، میتواند هر فرمان دلخواهی را با سطح SYSTEM اجرا کند. این مسیر یک Remote Code Execution لوکال محسوب میشود.
Privilege Escalation (TA0004)
یک کاربر معمولی به SYSTEM ارتقا پیدا میکند چون MSI فرآیند مرتبط را با این سطح اجرا میکند و کنسول تعاملی بدون محدودیت در اختیار مهاجم قرار دارد.
Defense Evasion (TA0005)
اجرای فرآیند SYSTEM از طریق جریان قانونی Windows Installer رفتار را شبهسیستمی جلوه میدهد و شناسایی توسط ابزارهای امنیتی سخت میشود. مهاجم میتواند سرویسهای امنیتی مانند AV، فایروال یا Group Policy را تغییر یا غیرفعال کند.
Credential Access (TA0006)
با دسترسی SYSTEM، مهاجم میتواند ابزارهایی برای استخراج رمز عبور، دسترسی به LSASS، فایلهای SAM و Credential Store را استفاده کند.
Discovery (TA0007)
مهاجم با SYSTEM میتواند ساختار سیستم، سرویسها، شبکههای ICS، مسیرهای صنعتی و منابع FactoryTalk را شناسایی کند.
Lateral Movement (TA0008)
اگر شبکه ICS segment نشده باشد، مهاجم میتواند از SYSTEM برای حرکت به PLCها، SCADA Server و سایر ایستگاهها استفاده کند.
Collection (TA0009)
با SYSTEM، دسترسی به فایلها، پروژههای مهندسی، تنظیمات صنعتی و دادههای حساس عملیاتی ممکن است.
Exfiltration (TA0010)
مهاجم پس از جمعآوری دادهها میتواند با PowerShell، SMB یا HTTP اطلاعات را خارج کند.
Impact (TA0040)
دسترسی SYSTEM امکان کنترل کامل ویندوز و سرویسهای صنعتی را به مهاجم میدهد. این شامل توقف عملیات، تغییر پارامترهای حیاتی و تهدیدات فیزیکی در محیط ICS میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-9067
- https://www.cvedetails.com/cve/CVE-2025-9067/
- https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1754.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9067
- https://vuldb.com/?id.328221
- https://nvd.nist.gov/vuln/detail/CVE-2025-9067
- https://cwe.mitre.org/data/definitions/269.html
