CVE-2025-9817

چکیده

آسیب‌پذیری ارجاع به اشاره‌گر تهی(NULL Pointer Dereference) در نرم افزار Wireshark کامپوننت SSH dissector نسخه‌های 4.4.0 تا 4.4.8 شناسایی شده است. این ضعف امنیتی می‌تواند با پردازش بسته‌های SSH مخرب یا فایل‌های ردیابی دستکاری‌شده باعث کرش برنامه و اختلال در تحلیل ترافیک شبکه شود.

توضیحات

آسیب‌پذیری CVE-2025-9817 در نرم‌افزار Wireshark، یکی از پرکاربردترین ابزارهای تحلیل پروتکل‌های شبکه، شناسایی شده است. این ضعف ناشی از ارجاع به اشاره‌گر تهی (مطابق با CWE-476) در کامپوننت SSH Dissector بوده و نسخه‌های 4.4.0 تا 4.4.8 را تحت تأثیر قرار می‌دهد.

این آسیب پذیری در هنگام پردازش بسته‌های پروتکل SSH (Secure Shell یا به عبارتی، پروتکلی برای ارتباط امن رمزگذاری شده در شبکه) رخ می‌دهد؛ به‌گونه‌ای که در صورت دریافت بسته‌های SSH دستکاری‌شده یا باز کردن فایل‌های Capture مخرب، برنامه دچار کرش شده و شرایط انکار سرویس (DoS) ایجاد می‌شود.

هرچند این آسیب‌پذیری ابتدا در محیط تست داخلی Wireshark شناسایی شده و تاکنون اکسپلویت عمومی برای آن گزارش نشده است، اما مهاجمان می‌توانند با تزریق بسته‌های مخرب به شبکه یا فریب کاربر برای باز کردن فایل‌های دستکاری‌شده، از آن سوءاستفاده کنند. تأثیر این ضعف محدود به کرش کردن برنامه است، اما در محیط‌های حیاتی مانند سامانه‌های مانیتورینگ و امنیت شبکه می‌تواند منجر به اختلال جدی در فرآیند تحلیل ترافیک شود.

تیم توسعه Wireshark این ضعف را در نسخه 4.4.9 پچ کرده است. اصلاحات انجام‌شده در این نسخه شامل بهبود مدیریت ارجاع به اشاره‌گرها در کامپوننت SSH Dissector و جلوگیری از بروز شرایط انکار سرویس می‌باشد.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Wiresharkرا ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

با توجه به ماهیت این آسیب‌پذیری و امکان ایجاد شرایط انکار سرویس (DoS) در فرآیند تحلیل ترافیک، لازم است سازمان‌ها و تحلیلگران امنیتی اقدامات زیر را برای کاهش ریسک اجرا کنند:

• به‌روزرسانی فوری: نصب نسخه 4.4.9 یا بالاتر Wireshark که شامل اصلاحات امنیتی در کامپوننت SSH Dissector است.
• اعتبارسنجی و کنترل ورودی‌ها: اجتناب از بارگذاری فایل‌های Capture ناشناس یا مشکوک و محدودسازی منابع ورودی به داده‌های معتبر شبکه.
• ایزوله‌سازی محیط تحلیل: اجرای Wireshark در محسط های ایزوله مانند سیستم‌های Sandbox یا ماشین‌های مجازی جهت جلوگیری از تأثیر اختلال احتمالی بر زیرساخت اصلی.
• افزایش نظارت عملیاتی: بررسی لاگ‌ها و کرش‌های غیرمنتظره Wireshark به‌عنوان شاخص بالقوه تلاش برای سوءاستفاده.
• به‌کارگیری سیاست‌های امنیتی مکمل: بهره‌گیری از ابزارهای موازی مانیتورینگ شبکه و برنامه‌های واکنش به رخداد (Incident Response) برای حفظ تداوم تحلیل در صورت بروز اختلال.

اجرای این اقدامات ریسک سوءاستفاده را به حداقل رسانده و ثبات زیرساخت‌های تحلیل شبکه را تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

• Initial Access (TA0001)
  T1205 – Traffic Signaling / T1566 – Phishing (via malicious file)
  مهاجم می‌تواند با ارسال بسته‌های SSH دستکاری‌شده در شبکه یا ترغیب کاربر به باز کردن فایل Capture آلوده، شرایط لازم برای بهره‌برداری را فراهم کند.
• Defense Evasion (TA0005)
  T1562 – Impair Defenses
  کرش کردن Wireshark می‌تواند به‌صورت غیرمستقیم باعث اختلال در فرآیند مانیتورینگ و تحلیل ترافیک شبکه شود و به مهاجم امکان دور زدن نظارت امنیتی را بدهد.
• Impact (TA0040)
  T1499 – Endpoint Denial of Service
  این ضعف باعث انکار سرویس در سطح اپلیکیشن Wireshark می‌شود؛ تحلیلگر شبکه دیگر قادر به پردازش صحیح بسته‌ها نخواهد بود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9817
2. https://www.cvedetails.com/cve/CVE-2025-9817/
3. https://www.wireshark.org/security/wnpa-sec-2025-03.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9817
5. https://vuldb.com/?id.322308
6. https://nvd.nist.gov/vuln/detail/CVE-2025-9817
7. https://cwe.mitre.org/data/definitions/476.html