CVE-2025-9900

چکیده

یک آسیب‌پذیری از نوع نوشتن داده دلخواه در آدرس دلخواه (Write-What-Where) در کتابخانه Libtiff شناسایی شده است. این ضعف زمانی فعال می‌شود که کتابخانه یک فایل TIFF دستکاری‌شده را پردازش کند؛ فایلی که در متادیتای آن مقدار بسیار بزرگ و نامعتبر برای ارتفاع تصویر (Image Height) قرار داده شده است. مهاجم با سوءاستفاده از این وضعیت، می‌تواند داده‌های رنگی تحت کنترل خود را در هر آدرس دلخواهی از حافظه بنویسد. این خرابی حافظه می‌تواند منجر به انکار سرویس (DoS)، افشای اطلاعات یا اجرای کد دلخواه با سطح دسترسی کاربر جاری شود.

توضیحات

آسیب‌پذیری CVE‑2025‑9900 یک ضعف از نوع نوشتن داده دلخواه در آدرس دلخواه (Write‑What‑Where) و مطابق با CWE‑123 در تابع TIFFReadRGBAImageOriented کتابخانه Libtiff است؛ ضعفی که در فرآیند تبدیل تصاویر دارای پالت رنگ (Indexed Color) به قالب RGBA (Red, Green, Blue, Alpha) رخ می‌دهد. این ضعف زمانی فعال می‌شود که مهاجم مقدار بسیار بزرگ و غیرعادی برای فیلد img.height در متادیتای فایل TIFF قرار دهد، در حالی که مقدار rheight همچنان معتبر باقی می‌ماند. این شرایط باعث می‌شود محاسبه آدرس حافظه با عبارت raster + (rheight – img.height) rwidth به یک آفست بسیار بزرگ و مثبت تبدیل شده و اشاره‌گر حاصل از محدوده بافر raster خارج شود. سپس این مقدار به‌عنوان اشاره‌گر cp به توابعی مانند put8bitcmaptile و put1bitbwtile ارسال می‌شود که درون خود با دستور cp++ = PALmap[pp][0] اقدام به نوشتن در حافظه می‌کنند. در چنین وضعیتی، هم آدرس نوشتن (Where) یعنی مقدار cp و هم داده نوشته‌شده (What) یعنی مقدار *PALmap[pp][0] کاملاً تحت کنترل مهاجم قرار می‌گیرد؛ زیرا pp از داده پیکسلی فایل و PALmap از پالت رنگی استخراج می‌شود و هر دو به‌طور کامل قابل دستکاری هستند.

این آسیب‌پذیری قابل سوءاستفاده و خودکارسازی است. مهاجم می‌تواند با ابزارهای فازینگ (Fuzzing) یا حتی یک اسکریپت ساده، فایل‌های TIFF مخرب تولید کند و بدون هیچ‌گونه نیاز به احراز هویت، تنها با فریب کاربر برای باز کردن فایل (در یک نمایشگر تصویر، مرورگر یا نرم‌افزار پردازش تصویر)، حمله را اجرا کند. سوءاستفاده موفق می‌تواند منجر به انکار سرویس (DoS) به دلیل Segmentation Fault (خطای بخش بندی حافظه)، افشای حافظه یا در شرایط مناسب، اجرای کد دلخواه (RCE) با سطح دسترسی کاربر جاری شود.

یک کد اثبات مفهومی (PoC) عمومی نیز منتشر شده که با استفاده از یک فایل TIFF دستکاری‌شده و یک هارنس آزمایشی ساده (Test Harness)، به‌سرعت موجب Segmentation Fault می‌شود. همچنین اسکریپت پایتونی برای تولید خودکار فایل مخرب در دسترس است. این آسیب‌پذیری تمام نسخه‌های Libtiff پیش از 4.7.1 را تحت تأثیر قرار می‌دهد و در نسخه 4.7.1 به‌طور کامل پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Libtiff را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا از نوع Write-What-Where در کتابخانه پرکاربرد Libtiff است که می‌تواند منجر به به انکار سرویس یا اجرای کد از راه دور شود. با توجه به انتشار پچ رسمی، اقدامات زیر برای کاهش ریسک و جلوگیری از بهره‌برداری ضروری است:

• به‌روزرسانی فوری: تمام برنامه‌ها و سیستم‌عامل‌هایی که از Libtiff استفاده می‌کنند را به نسخه 7.1یا بالاتر به‌روزرسانی کنید. در توزیع‌های Red Hat، Debian، Ubuntu و سایر توزیع‌ها پچ‌های امنیتی مربوطه منتشر شده و باید سریعاً اعمال شوند. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• محدودسازی پردازش فایل‌های TIFF: در برنامه‌های وب یا سرویس‌هایی که فایل‌های آپلود شده توسط کاربر را پردازش می‌کنند، استفاده از نسخه‌های به‌روز Libtiff یا حتی کتابخانه‌های جایگزین پیشنهاد می‌شود.
• استفاده از محیط ایزوله: برنامه‌هایی که فایل‌های TIFF را باز می‌کنند (مثل مرورگرها یا نرم‌افزارهای ویرایش تصویر) باید در محیط‌های ایزوله مانند Sandbox یا Container اجرا شوند تا ریسک ناشی از این آسیب‌پذیری کاهش یابد.
• فعال‌سازی ASLR و DEP: مطمئن شوید که مکانیزم‌های ASLR (تغییر تصادفی چیدمان حافظه) و DEP/NX (عدم اجرای کد در بخش‌های خاصی از حافظه) فعال هستند تا بهره‌برداری از آسیب‌پذیری سخت‌تر شود.
• فایروال اپلیکیشن وب (WAF) و آنتی‌ویروس به‌روز: در مسیر آپلود فایل‌های TIFF از فایروال‌های اپلیکیشن وب (WAF) و آنتی‌ویروس‌های به‌روز برای شناسایی فایل‌های مخرب استفاده کنید.
• آموزش کاربران: کاربران باید از باز کردن فایل‌های TIFF از منابع ناشناس (خصوصاً از طریق ایمیل یا وب‌سایت‌های مشکوک) خودداری کنند و از این بابت آگاه شوند.

اجرای این اقدامات به ویژه به‌روزرسانی، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل می‌رساند و امنیت برنامه‌های وابسته به Libtiff را به‌طور چشمگیری افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

ورودی اولیه از طریق پردازش یک فایل TIFF مخرب است که معمولاً از مسیرهایی مانند پیوست ایمیل، دانلود وب یا آپلود کاربر وارد برنامه می‌شود. مهاجم فایل را طوری می‌سازد که فیلدهای متادیتا به‌ویژه img.height و پالت رنگ مقدارهای ناقص/دستکاری‌شده داشته باشند تا در لحظه خواندن توسط TIFFReadRGBAImageOriented بردار حمله فعال شود؛ هیچ احراز هویتی نیاز نیست و بردار کاملاً از راه دور قابل عرضه و خودکارسازی است.

Execution (TA0002)

با پردازش TIFF مخرب، محاسبه‌ی آدرس نوشتن از محدوده بافر خارج شده و اشاره‌گرهای نوشتن (cp) و داده (PALmap[pp][0]) تحت کنترل مهاجم قرار می‌گیرند — یک primitive write-what-where ایجاد می‌شود. این توانایی به مهاجم اجازه می‌دهد ساختارهای کنترلی یا اشاره‌گرهای تابع را بازنویسی کند و در ترکیب با تکنیک‌هایی مثل ROP و عبور از ASLR/PIE به اجرای کد دلخواه در پروسس قربانی منجر شود.

Privilege Escalation (TA0004)

اگر پروسس آسیب‌دیده دارای دسترسی‌های بالاتر مثلاً سرویس با حق ریشه یا daemon سیستمی باشد، مهاجم پس از RCE می‌تواند تعامل محلی یا دستورات دائمی اجرا کند و سطح دسترسی خود را به سطح سرویس افزایش دهد.

Credential Access (TA0006)

پس از دستیابی به حافظه فرایند، مهاجم قادر است فایل‌ها و ساختارهای حافظه را بخواند و مقادیر حساس مانند کلیدها، توکن‌ها یا رشته‌های اتصال را استخراج کند؛ این اکسفیلتیشن حافظه می‌تواند اعتبارنامه‌های محلی یا توکن‌های کاربردی را آشکار کند و زمینه نفوذهای بعدی را فراهم آورد.

Discovery (TA0007)

با exploit موفق، مهاجم می‌تواند ساختار فایل‌سیستم، مسیرهای پیکربندی، نسخه‌های کتابخانه‌ها و فرآیندهای در حال اجرا را شناسایی کند تا بردارهای هدف‌دار بعدی (مثلاً فایل‌های حساس، پایگاه‌های داده محلی یا اسکریپت‌های اتوماتیک) را بیابد؛ این داده‌ها برای طراحی مرحله‌های بعدی حمله حیاتی‌اند.

Lateral Movement (TA0008)

پس از تسلط بر میزبان، مهاجم می‌تواند از ابزارهای مدیریت یا سرویس‌های توزیع‌شده برای انتشار بدافزار به سایر نودها استفاده کند.

Collection (TA0009)

مهاجم با دسترسی به فضای حافظه و فایل‌سیستم می‌تواند داده‌های حساس، تصاویر خصوصی، متادیتا و فایل‌های کانفیگ را جمع‌آوری کند. داده‌های استخراج‌شده معمولاً برای Exfiltration یا تحلیل‌های بعدی ذخیره و بسته‌بندی می‌شوند.

Exfiltration (TA0010)

داده‌های جمع‌آوری‌شده را می‌توان به‌سادگی از طریق کانال‌های خروجی معمولی مانند HTTP/HTTPS یا اتصال‌های خروجی سرویس ارسال کرد؛ از آنجا که حمله از طریق فایل تصویری رخ می‌دهد، ترافیک خروجی معمولی و به‌راحتی با ترافیک قانونی اشتباه گرفته می‌شود.

Impact (TA0040)

اثر نهایی شامل اختلال سرویس (DoS)، افشای اطلاعات حساس و در حالت بدبینانه اجرای کد دلخواه (RCE) با سطح کاربر یا سرویس است که می‌تواند به تصاحب میزبان، توقف سرویس‌های حیاتی یا گسترش حمله در شبکه منجر شود. این آسیب‌پذیری به‌دلیل طبیعت write-what-where از نظر exploitability در رده بسیار خطرناک قرار دارد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9900
2. https://www.cvedetails.com/cve/CVE-2025-9900/
3. https://access.redhat.com/security/cve/CVE-2025-9900
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9900
5. https://vuldb.com/?id.325575
6. https://bugzilla.redhat.com/show_bug.cgi?id=2392784
7. https://github.com/SexyShoelessGodofWar/LibTiff-4.7.0-Write-What-Where?tab=readme-ov-file
8. https://gitlab.com/libtiff/libtiff/-/issues/704
9. https://gitlab.com/libtiff/libtiff/-/merge_requests/732
10. https://libtiff.gitlab.io/libtiff/releases/v4.7.1.html
11. https://lists.debian.org/debian-lts-announce/2025/09/msg00031.html
12. http://www.openwall.com/lists/oss-security/2025/09/26/3
13. https://nvd.nist.gov/vuln/detail/CVE-2025-9900
14. https://cwe.mitre.org/data/definitions/123.html