CVE-2025-9424

چکیده

آسیب‌پذیری تزریق فرمان سیستم‌عامل (OS Command Injection) در کنترل کننده بی‌سیم Ruijie WS7204-A نسخه 2017.06.15، در فایل /itbox_pi/branch_import.php?a=branch_list شناسایی شده است. این آسیب پذیری به دلیل پردازش نادرست پارامتر province بوده و به مهاجمان احراز هویت‌شده با دسترسی ادمین اجازه می‌دهد دستورات سیستم‌عامل را از راه دور اجرا کنند. این مسئله می‌تواند منجر به دسترسی غیرمجاز به سرور، خرابی سرور یا اجرای کد دلخواه شود.

توضیحات

آسیب‌پذیری CVE-2025-9424 از نوع تزریق فرمان سیستم‌عامل (مطابق با CWE-78) و تزریق فرمان (مطابق با CWE-77) است که در کنترل کننده بی‌سیم Ruijie WS7204-A رخ می‌دهد. در این آسیب پذیری، پارامتر province در فایل /itbox_pi/branch_import.php?a=branch_listبه‌طور مستقیم در یک دستور سیستم‌عامل قرار می‌گیردکه امکان اجرای دستورات دلخواه مانند نوشتن فایل یا اجرای اسکریپت را فراهم می‌کند. این آسیب پذیری به مهاجمان احراز هویت‌شده با دسترسی ادمین اجازه می‌دهد از راه دور دستورات مخرب را اجرا کنند.

این حمله بدون نیاز به تعامل کاربر انجام می‌شود. پیامدهای آن شامل تأثیر شدید بر محرمانگی، یکپارچگی و دسترس‌پذیری است، چراکه اجرای دستورات سیستم‌عامل می‌تواند منجر به دسترسی کامل مهاجم به دستگاه شود. کد اثبات مفهومی (PoC) منتشرشده نشان می‌دهد که مهاجم می‌تواند دستوراتی مانند id را اجرا کرده و خروجی را در فایل مانند ceshi.txt ذخیره کند که این امر می‌تواند منجر به افزایش دسترسی‌ها یا خرابی سرور شود. تاکنون Ruijie هیچ گونه به روزرسانی یا پچ امنیتی منتشر نکرده است.

CVSS

 لیست محصولات آسیب پذیر

 نتیجه گیری

با توجه به ماهیت این آسیب‌پذیری و عدم انتشار پچ رسمی، این ضعف امنیتی تهدیدی جدی برای کنترل‌کننده‌های Ruijie WS7204-A محسوب می‌شود. تا زمان انتشار به‌روزرسانی، لازم است دسترسی شبکه به دستگاه محدود شده و رابط مدیریت آن از اینترنت عمومی جدا گردد، به‌طوری که تنها از طریق شبکه‌های داخلی یا VPN قابل دسترسی باشد. همچنین توصیه می‌شود رمزهای عبور ادمین با رمزهای قوی تر جایگزین شوند تا ریسک دسترسی غیرمجاز کاهش یابد، ترافیک شبکه به‌طور مستمر نظارت شده تا هرگونه درخواست مشکوک به مسیر /itbox_pi/branch_import.php شناسایی شود و فایروال اپلیکیشن وب (WAF) برای فیلتر کردن درخواست‌های مخرب به پارامتر province مورد استفاده قرار گیرد. با توجه به عدم پاسخگویی Ruijie به این ضعف امنیتی، جایگزینی دستگاه با مدلی ایمن‌تر نیز توصیه می‌شود. اجرای همزمان این اقدامات به‌صورت یکپارچه امنیت دستگاه را تقویت کرده و احتمال بهره‌برداری مهاجمان را به شدت کاهش می‌دهد. کاربران باید وب‌سایت Ruijie را برای دریافت به‌روزرسانی‌های احتمالی بررسی کنند.

امکان استفاده در Mitre Attack

• Initial Access (TA0001)

T1190 – Exploit Public-Facing Application
مهاجم با سوءاستفاده از ضعف موجود در پارامتر province در فایل /itbox_pi/branch_import.php و تزریق فرمان، به برنامه‌ی تحت وب کنترل‌کننده‌ی بی‌سیم دسترسی اولیه پیدا می‌کند.

• Execution (TA0002)

T1059 – Command and Scripting Interpreter

Sub-technique: T1059.004 – Unix Shell
با توجه به اینکه دستگاه Ruijie مبتنی بر سیستم‌عامل شبه یونیکس است، مهاجم می‌تواند دستورات شل مانند id, cat, echo را از راه دور اجرا کند.

• Privilege Escalation (TA0004)

T1068 – Exploitation for Privilege Escalation
اجرای موفق کد می‌تواند به مهاجم اجازه دهد سطح دسترسی بالاتری روی سیستم‌عامل کنترل‌کننده کسب کند مثلاً از کاربر وب به سطح root

• Persistence (TA0003)

T1505.003 – Server Software Component: Web Shell
مهاجم قادر است یک backdoor یا web shell روی دستگاه آپلود کرده و دسترسی دائمی به سرور داشته باشد.

• Defense Evasion (TA0005)

T1036 – Masquerading
مهاجم می‌تواند اسکریپت‌های مخرب خود را با نام فایل‌های سیستمی عادی مثل ceshi.txtپنهان کند تا شناسایی نشوند.

• Impact (TA0040)

T1499 – Endpoint Denial of Service
مهاجم ممکن است با اجرای دستورات مخرب باعث خرابی یا از دسترس خارج شدن کنترل‌کننده‌ی شبکه شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9424
2. https://www.cvedetails.com/cve/CVE-2025-9424/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9424
4. https://vuldb.com/?submit.634135
5. https://vuldb.com/?id.321267
6. https://vuldb.com/?ctiid.321267
7. https://github.com/Hwwg/cve/issues/1
8. https://cwe.mitre.org/data/definitions/78.html
9. https://cwe.mitre.org/data/definitions/77.html