CVE-2025-9068

چکیده

آسیب‌پذیری افزایش سطح دسترسی لوکال در FactoryTalk Linx به مهاجم احراز هویت‌شده با حساب کاربری معتبر ویندوز اجازه می‌دهد با سوءاستفاده از مکانیزم تعمیر (Repair) بسته‌ MSI مربوط به نرم‌افزار، فرآیند vbpinstall.exe را ربوده (Hijack) و یک خط فرمان (Command Prompt) با سطح دسترسی SYSTEM اجرا کند. این مسئله منجر به دسترسی کامل مهاجم به فایل‌ها، فرآیندها و سایر منابع حساس سیستم می‌شود.

توضیحات

آسیب‌پذیری CVE‑2025‑9068 ناشی از مدیریت نادرست سطح دسترسی مطابق با CWE‑269 در مکانیزم تعمیر (Repair) بسته Microsoft Installer (MSI) مربوط به درایورهای 64 بیتی FactoryTalk Linx است. در فرایندهای MSI، سرویس Windows Installer (موتوررسمی نصب و مدیریت بسته های MSI ویندوز) می‌تواند برخی کامپوننت های نرم‌افزار را با دسترسی SYSTEM یعنی بالاترین سطح دسترسی در ویندوز اجرا کند.

در این آسیب‌پذیری، زمانی که یک کاربر معتبر ویندوز حتی با حداقل سطح دسترسی، عملیات Repair را از طریق Programs and Features (کنسول مدیریت برنامه ها در ویندوز) یا خط فرمان (Command Prompt) آغاز می‌کند، فایل اجرایی vbpinstall.exe با سطح دسترسی SYSTEM فراخوانی شده و یک پنجره کنسول ایجاد می‌کند. این پنجره کنسول در واقع بخشی از جریان کاری Windows Installer است که خروجی دستورات را نمایش می‌دهد.

مهاجم می‌تواند این پنجره کنسول را به‌سادگی ربوده (Hijack) و با تزریق ورودی، دستورات دلخواه خود را در همان محیط SYSTEM اجرا کند. علت امکان Hijack یا ربودن این است که کنسول بازشده تحت کنترل فرآیند MSI قرار دارد و هیچ‌گونه مکانیزم جداسازی یا محدودکننده‌ای برای جلوگیری از تعامل کاربری ندارد.

بهره‌برداری از این آسیب‌پذیری بسیار ساده و قابل خودکارسازی است. مهاجم تنها کافی است با یک حساب کاربری معمولی وارد سیستم شود، عملیات Repair را آغاز نماید و بلافاصله پس از ظاهر شدن پنجره کنسول، با ارسال ورودی از طریق صفحه‌کلید، کلیدهای میان‌بُر یا اسکریپت‌های خودکار، یک خط فرمان (Command Prompt) یا هر فرآیند دلخواه دیگر را با دسترسی SYSTEM اجرا کند. این حمله نیازی به تعامل کاربر هدف، دسترسی مدیریتی اولیه یا حضور فیزیکی ندارد؛ وجود یک حساب کاربری معتبر ویندوز به‌تنهایی کافی است. این ویژگی بهره‌برداری را برای مهاجمان و بدافزارها بسیار جذاب می‌کند، زیرا می‌توانند حمله را بدون جلب توجه کاربر و در پس‌زمینه اجرا کنند.

مهاجم با بهره‌برداری موفق از این ضعف می تواند به تمام فایل‌ها و مسیرهای حساس ویندوز، از جمله داده‌ها و پیکربندی های مرتبط با زیرساخت صنعتی FactoryTalk دسترسی پیدا ‌کند. همچنین، مهاجم قادر خواهد بود هر فرآیند در حال اجرا را خاتمه داده یا دستکاری کند، تنظیمات امنیتی ویندوز را تغییر دهد، آنتی‌ویروس، فایروال ویندوز (Windows Firewall) یا سیاست‌های گروهی (Group Policy) را غیرفعال کند و بدافزار، بکدور یا ابزارهای ماندگار (Persistence) با سطح SYSTEM نصب نماید. این سطح از دسترسی عملاً کنترل کامل سیستم را در اختیار مهاجم قرار می‌دهد و می‌تواند منجر به اختلال در فرآیندهای صنعتی، تغییر ناخواسته پیکربندی‌ها، توقف عملیات و حتی تهدیدهای فیزیکی در محیط‌های ICS شود.

این آسیب‌پذیری در نسخه 6.50 و بالاتر FactoryTalk Linx به‌صورت کامل پچ شده و در این نسخه اجرای مکانیزم Repair دیگر منجربه ایجاد کنسول قابل تعامل با سطح SYSTEM نمی‌شود.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که FactoryTalk Linx و Rockwell Automation را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا از نوع افزایش سطح دسترسی لوکال در FactoryTalk Linx، به مهاجم داخلی یا مهاجمی با دسترسی یک حساب کاربری معمولی ویندوز اجازه می‌دهد کنترل کامل سیستم را از طریق اجرای فرآیندها با سطح SYSTEM به دست آورد. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از سوءاستفاده و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام نصب‌های FactoryTalk Linx را به نسخه 6.50 یا جدیدتر به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• اعمال به‌روزرسانی‌های مایکروسافت: آخرین پچ‌ها و به روزرسانی های مربوط به سرویس Windows Installer (موتور اجرای بسته‌های MSI) را نصب کنید. این به‌روزرسانی‌ها باعث بهبود ایمنی عملکرد تعمیر (Repair) در بسته‌های MSI می‌شوند و از اجرای ناامن فرآیندهای مرتبط با نصب یا تعمیر جلوگیری می‌کنند.
• محدودسازی حساب‌های کاربری: از حساب‌های کاربری معمولی (Standard User) به‌جای حساب‌های ادمین برای فعالیت های روزمره استفاده کنید و اصل حداقل دسترسی را به‌طور کامل اجرا نمایید.
• غیرفعال کردن عملیات Repair برای کاربران عادی: با استفاده از سیاست‌های گروهی (Group Policy) یا AppLocker امکان اجرای عملیات Repair را برای کاربران غیرادمین مسدود کنید.
• مانیتورینگ فرآیندها: لاگ‌های ایجاد فرآیند (Process Creation) مانند Event ID 4688 در ویندوز را فعال کرده و برای اجرای exe یا cmd.exe با دسترسی SYSTEM هشدار تنظیم کنید.
• استفاده از EDR/XDR: از راهکارهای تشخیص و پاسخ اندپوینت (EDR/XDR) برای شناسایی الگوهای سوءاستفاده از Repair، اجرای فرآیندهای غیرعادی و تلاش برای ربودن کنسول استفاده کنید.
• ایزوله‌سازی ایستگاه‌های صنعتی: ایستگاه‌های مانیتورینگ صنعتی HMI و ایستگاه های مهندسی Engineering Workstation را در شبکه‌های جداگانه (Segmented Network) قرار دهید و دسترسی Remote Desktop را محدود کنید.

با به‌روزرسانی نرم‌افزار به نسخه‌های پچ‌شده و پیاده‌سازی مجموعه‌ای از بهترین روش‌های امنیتی ویندوز و شبکه، می‌توان ریسک این آسیب‌پذیری را به‌طور چشمگیری کاهش داد و از سوءاستفاده مهاجمان برای دستیابی به دسترسی SYSTEM در زیرساخت‌های صنعتی مبتنی بر FactoryTalk Linx جلوگیری کرد.

امکان استفاده در تاکتیک های Mitre Attack

Execution (TA0002)

اجرای کد از طریق Hijack کردن کنسول SYSTEM که توسط vbpinstall.exe ایجاد می‌شود انجام می‌شود. مهاجم زمانی که Repair آغاز می‌شود، وارد جریان اجرای MSI شده و با تعامل مستقیم با کنسول، فرآیندهای جدید را با سطح SYSTEM اجرا می‌کند. این مسیر عملاً یک Remote Code Execution لوکال محسوب می‌شود و امکان اجرای هر نوع payload را فراهم می‌کند.

Privilege Escalation (TA0004)

یک کاربر معمولی با کمترین سطح دسترسی می‌تواند به SYSTEM ارتقا پیدا کند چون MSI، فرآیند مرتبط را با این سطح اجرا می‌کند و کنسول ناشی از آن بدون محدودیت در اختیار مهاجم قرار می‌گیرد. این یک Privilege Escalation  کامل و مستقیم است.

Defense Evasion (TA0005)

اجرای فرآیند SYSTEM از طریق جریان قانونی Windows Installer رفتار را شبه‌سیستمی جلوه می‌دهد و بسیاری از ابزارهای سنتی ضدبدافزار به‌سادگی این الگو را تشخیص نمی‌دهند. مهاجم می‌تواند پس از گرفتن SYSTEM، سرویس‌های امنیتی از جمله AV، Firewall  و Group Policy را تغییر یا غیرفعال کند.

Credential Access (TA0006)

پس از به‌دست‌آوردن SYSTEM، مهاجم قادر است ابزارهایی برای استخراج رمز، دسترسی به حافظه LSASS، فایل‌های SAM و Credential Store اجرا کند. این مرحله اختیاری ولی کاملاً محتمل است و سطح SYSTEM اجازه انجام آن را بدون محدودیت می‌دهد.

Discovery (TA0007)

مهاجم با سطح SYSTEM می‌تواند ساختار سیستم، سرویس‌ها، شبکه‌های ICS متصل، توپولوژی HMI/PLC، مسیرهای صنعتی و دسترسی‌های مرتبط با FactoryTalk را شناسایی کند. این شناسایی گام لازم برای گسترش حمله در محیط صنعتی است.

Lateral Movement (TA0008)

اگر این ایستگاه در شبکه صنعتی Segment نشده باشد، مهاجم می‌تواند از دسترسی SYSTEM برای Pivot کردن به سمت  PLCها، SCADA Server، یا  Engineering Workstation‌های دیگر استفاده کند. مهاجم با ابزارهای استاندارد Windows یا ابزارهای ICS-specific می‌تواند به سیستم‌های هم‌جوار حرکت کند.

Collection (TA0009)

با سطح SYSTEM، دسترسی به فایل‌ها، پروژه‌های مهندسی، تنظیمات صنعتی و داده‌های حساس عملیاتی کاملاً ممکن است. مهاجم می‌تواند پروژه‌های FactoryTalk، فایل‌های ارتباطی PLC و داده‌های فرآیندی را جمع‌آوری کند.

Exfiltration (TA0010)

مهاجم پس از جمع‌آوری داده‌ها می‌تواند با ابزارهای معمول مثل PowerShell، SMB، HTTP اطلاعات را خارج کند. چون دسترسی SYSTEM دارد، محدودیت‌های محلی تقریباً بی‌اثرند.

Impact (TA0040)

تأثیر حمله بسیار بالاست: مهاجم عملاً کنترل کامل ویندوز را دارد و می‌تواند سرویس‌های صنعتی، ارتباطات PLC، نرم‌افزارهای SCADA و سرویس‌های حیاتی را تغییر، متوقف یا خراب کند. این می‌تواند به توقف عملیات، خراب‌کاری در فرآیند، تغییر پارامترهای حیاتی و حتی تهدیدهای فیزیکی منجر شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9068
2. https://www.cvedetails.com/cve/CVE-2025-9068/
3. https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1754.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9068
5. https://vuldb.com/?id.328223
6. https://nvd.nist.gov/vuln/detail/CVE-2025-9068
7. https://cwe.mitre.org/data/definitions/269.html