بنیاد Wireshark نسخه 4.4.4 از ابزار تحلیل پروتکل شبکهای خود را منتشر کرده است. این بهروزرسانی یک آسیبپذیری مهم را برطرف میکند که میتوانست به مهاجمان اجازه دهد با تزریق پکت های مخرب، حملات انکار سرویس (DoS) را اجرا کنند.
این بهروزرسانی، مشکل امنیتی CVE-2025-1492 را برطرف میکند. این نقص امنیتی در تحلیلگرهای Bundle Protocol و CBOR وجود داشت و میتوانست باعث کرش نرم افزار، ایجاد حلقههای بینهایت و نشت حافظه هنگام پردازش ترافیک شبکهی دستکاریشده شود.
این چهارمین پچ امنیتی در سری 4.4.x محسوب میشود که بر خطرات مداوم مرتبط با ابزارهای تحلیل پروتکل در امنیت شبکه تأکید دارد.
CVE-2025-1492
نقص امنیتی CVE-2025-1492 دارای امتیاز 7.8 (امتیاز بالا) در CVSS v3.1 دریافت کرده و نسخههای Wireshark 4.4.0 تا 4.4.3 و 4.2.0 تا 4.2.10 را تحت تأثیر قرار میدهد.
مهاجمان با سوءاستفاده از این آسیبپذیری میتوانند عملیات تحلیل، نظارت و عیبیابی شبکه را مختل کرده و سیستمها را با پکت های مخرب دچار اختلال کنند.
این نقص به نحوهی تجزیه ساختارهای داده Bundle Protocol (استفادهشده در شبکههای مقاوم در برابر تأخیر) و CBOR (ساختار دادهی باینری مختصر) توسط تحلیلگرهای Wireshark مربوط میشود.
اکسپلویت موفق این نقص میتواند برنامه را از کار انداخته، مانع از اجرای فرآیندهای حیاتی عیب شناسی شبکه شود و حتی منجر به اختلالات گستردهتر گردد.
نحوه کشف CVE-2025-1492
طبق گزارش امنیتی Wireshark (wnpa-sec-2025-01)، این نقص امنیتی از طریق فاز تستینگ خودکار کشف شده است. این روش، دادههای نامعتبر یا تصادفی را به نرمافزار تزریق میکند تا ناپایداریهای آن را مشخص کند.
این کشف با الگوهای گذشته مطابقت دارد، جایی که ماژولهای تحلیلگر پروتکل که وظیفهی پردازش ترافیک شبکه را دارند، اهداف اصلی حملات DoS بودهاند. بهعنوان مثال، در گذشته آسیبپذیریهایی در تحلیلگرهای Bluetooth، Radiotap و AVDTPمشاهده شده بودند که شناسه ی آن ها CVE-2018-16056، CVE-2018-16057 و CVE-2018-16058 است، که از طریق بستههای مخرب یا فایلهای رهگیری باعث کرش کردن نرمافزار شدند.
انتشار Wireshark 4.4.4
نسخهی 4.4.4 علاوه بر رفع آسیبپذیری CVE-2025-1492، ۱۳ نقص دیگر را نیز اصلاح کرده است، از جمله باگهای مربوط به مشکلات بازگشتی در رابط ها، ارور های پردازش کوئریهای DNS و خطاهای مربوط به اثر انگشت JA4
به کاربران بهشدت توصیه میشود که بلافاصله این نسخه جدید را نصب کنند، زیرا این آسیبپذیری بدون نیاز به احراز هویت یا تعامل کاربر قابل سوءاستفاده است و در شبکههای محلی و از راه دور میتواند مورد بهرهبرداری قرار گیرد. محیطهای سازمانی که از Wireshark برای فارنزیک شبکه یا شناسایی نفوذ استفاده میکنند، بهطور ویژه در معرض خطر هستند، زیرا داون تایم طولانیمدت میتواند نشانههای یک حملهی در حال وقوع را پنهان کند.
مسئولین Wireshark بر اهمیت به روزرسانی این نرمافزار در تمامی سیستمها تأکید کردهاند و اظهار داشتهاند: “تزریق پکت های مخرب همچنان تهدیدی پایدار برای ابزارهای تحلیل شبکه است. این پچ، استقامت تحلیلگرها را تقویت میکند تا از سوءاستفاده از سناریوهای خاص جلوگیری شود.”
این بنیاد همچنین توصیه کرده است که کاربران فایلهای ضبط شده از منابع نامطمئن را پیش از تحلیل اعتبارسنجی کنند و با استفاده از تقسیم بندی شبکه، میزان قرارگیری در معرض ترافیک مخرب را کاهش دهند.
این بهروزرسانی نشاندهندهی ادامهی تلاش Wireshark برای رفع آسیبپذیریهای مرتبط با تحلیلگرهای پروتکل است. تنها در سال ۲۰۲۴، این نرم افزار ۱۵ مورد مشاورهی امنیتی را برطرف کرده است که شامل حلقههای بینهایت در تحلیلگرهای MONGO و ZigBee TLV (wnpa-sec-2024-07) کرشهای مرتبط با رمزگشایی HTTP3 (wnpa-sec-2024-03) میشود.
آخرین نسخه همچنین با تغییرات معماری بزرگی همراه بوده است، از جمله مهاجرت به Lua 5.4 و استفاده از zlib-ng برای فشردهسازی سریعتر، که برخی مشکلات سازگاری ایجاد کردهاند و در بهروزرسانیهای جزئی در حال اصلاح هستند.
با وجود این چالشها، Wireshark همچنان یکی از ابزارهای ضروری برای متخصصان شبکه محسوب میشود. طبق نظرسنجیهای صنعتی، بیش از ۸۰٪ از شرکتها برای تحلیل ترافیک شبکه به این ابزار متکی هستند.
Wireshark 4.4.4 برای سیستمعاملهای ویندوز،macOS و لینوکس از طریق وبسایت رسمی و پکیج منیجرها در دسترس است. سازمانهایی که از ابزارهای استقرار خودکار استفاده میکنند باید این بهروزرسانی را در اولویت قرار دهند و تیمهای امنیتی نیز باید بر الگوهای غیرمعمول پکت های مخرب که نشاندهندهی تلاش برای اکسپلویت هستند، نظارت داشته باشند.
بهعنوان یک اقدام احتیاطی، بنیاد Wireshark توصیه میکند که این ابزار با سطح دسترسی بالا اجرا نشود و از فایروالها برای محدود کردن دسترسی به رابطهای ضبط ترافیک برای افراد معتبر استفاده شود.
