روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در سه‌ماهه دوم سال ۲۰۲۵، ثبت آسیب‌پذیری‌ها بسیار پویا و گسترده بود. آسیب‌پذیری‌هایی که منتشر شدند، تقریباً امنیت همه زیرسیستم‌های کامپیوتری را تحت تأثیر قرار دادند؛ از جمله UEFI، درایورها، سیستم‌عامل‌ها، مرورگرها و همچنین نرم‌افزارهای کاربری و وب. بر اساس تحلیل ما، بازیگران تهدید همانند دوره‌های قبلی، همچنان از آسیب‌پذیری‌ها در حملات واقعی استفاده می‌کنند تا به سیستم‌های کاربران دسترسی پیدا کنند. این مقاله همچنین آسیب‌پذیری‌های شناخته شده‌ای را که در کنار فریم‌ورک‌های معروف فرمان و کنترل (C2) در نیمه اول سال ۲۰۲۵ مورد بهره‌برداری قرار گرفته‌اند شرح می‌دهد. با ما همراه بمانید. 

آمار ثبت آسیب‌پذیری‌ها

در این بخش، آمار CVEهای ثبت شده بررسی شده است. داده‌ها از سایت cve.org گرفته شده‌اند. نگاهی به تعداد CVEهای ثبت شده در هر ماه طی پنج سال گذشته نشان می‌دهد تعداد آسیب‌پذیری‌ها هر سال رو به افزایش است؛ هم به صورت کل و هم برای هر ماه به‌صورت جداگانه. برای مثال، حدود ۲۶۰۰ آسیب‌پذیری تا ابتدای سال ۲۰۲۴ ثبت شده بود، اما این رقم در ژانویه ۲۰۲۵ از ۴۰۰۰ عبور کرد. این روند افزایشی تقریباً در همه ماه‌ها دیده شده به جز ماه مه ۲۰۲۵. همچنین به تعداد آسیب‌پذیری‌هایی که به عنوان «بحرانی» با امتیاز CVSS بالای ۸.۹ تعیین شده‌اند، نگاه کردیم. داده‌های نیمه اول سال ۲۰۲۵ نشان‌دهنده افزایش چشمگیر نسبت به سال‌های قبل است. هرچند برخی آسیب‌پذیری‌ها امتیاز CVSS دریافت نمی‌کنند، اما اکنون آسیب‌پذیری‌های بحرانی با شرح و توضیحات مفصل‌تری منتشر می‌شوند که به بهبود امنیت نرم‌افزار کمک خواهد کرد.

آمار بهره‌برداری از آسیب‌پذیری‌ها

در سه‌ماهه دوم ۲۰۲۵، همانند گذشته، بیشترین حملات به محصولات مایکروسافت آفیس  بود که حفره‌های امنیتی رفع نشده داشتند. راهکارهای کسپرسکی بیشترین بهره‌برداری‌ها را روی پلتفرم ویندوز شناسایی کردند، به ویژه از آسیب‌پذیری‌های زیر:

• CVE-2018-0802: اجرای کد از راه دور در کامپوننت Equation Editor
• CVE-2017-11882: اجرای کد از راه دور دیگر در Equation Editor
• CVE-2017-0199: آسیب‌پذیری در Microsoft Office و WordPad که کنترل سیستم را به مهاجم می‌دهد

این آسیب‌پذیری‌ها به طور سنتی توسط مهاجمان بیشتر استفاده می‌شوند. پس از آن‌ها، مشکلاتی در WinRAR و بهره‌برداری برای سرقت اعتبارنامه‌های NetNTLM در ویندوز مشاهده شده است:

• CVE-2023-38831: آسیب‌پذیری در WinRAR به خاطر مدیریت نادرست فایل‌ها در آرشیو
• CVE-2025-24071: آسیب‌پذیری Windows File Explorer که اجازه می‌دهد اعتبارنامه‌های NetNTLM استخراج شود
• CVE-2024-35250: آسیب‌پذیری در درایور ks.sys که اجرای کد دلخواه را ممکن می‌کند

تمام این آسیب‌پذیری‌ها می‌توانند برای دسترسی اولیه و همچنین افزایش سطح دسترسی استفاده شوند. بنابراین نصب سریع به‌روزرسانی‌ها ضروری است.

برای سیستم‌عامل لینوکس، بیشترین اکسپلویت ها از آسیب‌پذیری‌های زیر گزارش شده است:

• CVE-2022-0847 (Dirty Pipe): آسیب‌پذیری مشهور که اجازه افزایش دسترسی و کنترل برنامه‌های در حال اجرا را می‌دهد
• CVE-2019-13272: آسیب‌پذیری مربوط به نحوه مدیریت ارث‌بری مجوزها
• CVE-2021-22555: آسیب‌پذیری overflow در بخش Netfilter که با تکنیک‌های حافظه مخرب به راحتی قابل سوءاستفاده است

با توجه به افزایش محبوبیت لینوکس در دستگاه‌های کاربران، نصب به‌روزرسانی‌های امنیتی در این سیستم‌عامل اهمیت زیادی دارد.

اکسپلویت‌های عمومی و پلتفرم ها

در سه‌ماهه دوم ۲۰۲۵، روند انتشار اکسپلویت‌ها مشابه سال گذشته بود. بیشترین حملات متوجه آسیب‌پذیری‌های سیستم‌عامل‌ها بود، بیشتر از نرم‌افزارهای دیگر. در این دوره خبری از اکسپلویت‌های جدید Microsoft Office نبود.

اکسپلویت در حملات APT

بررسی داده‌های حملات APT در این دوره نشان می‌دهد که ابزارهای ریموت و ویرایشگرهای اسناد، به همراه سیستم‌های لاگینگ، بیشتر هدف قرار گرفته‌اند. جالب اینجاست که ابزارهای توسعه کم‌کد/بدون کد در صدر این لیست هستند و آسیب‌پذیری در فریم‌ورک‌های توسعه برنامه‌های مبتنی بر هوش مصنوعی نیز در بین ده آسیب‌پذیری برتر دیده می‌شود. این موضوع نشان می‌دهد که توسعه فناوری‌های نرم‌افزاری توجه مهاجمان را به خود جلب کرده و آن‌ها سعی می‌کنند از آسیب‌پذیری‌های این ابزارهای جدید سوءاستفاده کنند. هدف اصلی مهاجمان، دسترسی به سیستم و افزایش دسترسی است.

فریم‌ورک‌های C2 محبوب

چهار فریم‌ورک محبوب و پرکاربرد Sliver، Metasploit، Havoc و Brute Ratel C4 در نیمه اول ۲۰۲۵ بیشتر از بقیه استفاده شده‌اند. این فریم‌ورک‌ها به طور پیش‌فرض قابلیت کار با اکسپلویت‌ها را دارند و توانایی انجام شناسایی، اجرای دستورات و حفظ ارتباط با سرور کنترل را فراهم می‌کنند.

Metasploit در حالت پیش‌فرض از اکسپلویت‌های ورود اولیه پشتیبانی می‌کند، اما سایر فریم‌ورک‌ها معمولاً برای استفاده از اکسپلویت‌ها نیاز به تنظیمات و سفارشی‌سازی دارند. تحلیل نمونه‌های کدهای مخرب نشان می‌دهد که مهاجمان بیشتر فریم‌ورک‌های C2 خود را برای اتوماسیون فعالیت‌های مخرب و جلوگیری از شناسایی تنظیم می‌کنند.

آسیب‌پذیری‌های استفاده شده در حملات با فریم‌ورک‌های C2:

• CVE-2025-31324: اجرای کد از راه دور در SAP NetWeaver
• CVE-2024-1709: دورزدن احراز هویت در ConnectWise ScreenConnect
• CVE-2024-31839: XSS در ابزار مدیریت از راه دور CHAOS
• CVE-2024-30850: اجرای کد دلخواه و دورزدن احراز هویت در CHAOS
• CVE-2025-33053: اجرای کد از راه دور در Windows به خاطر مدیریت نادرست فایل‌های LNK

در بسیاری موارد، داده‌های حمله تا شروع تحقیق از بین رفته‌اند، اما فهرست آسیب‌پذیری‌های مورد استفاده دید روشنی از روند حمله و مسیر دسترسی اولیه فراهم می‌کند.

آسیب‌پذیری‌های جالب توجه در سه‌ماهه دوم ۲۰۲۵

• CVE-2025-32433: اجرای کد از راه دور در سرور SSH مربوط به Erlang/OTP که بدون احراز هویت انجام می‌شود و حمله‌کننده تنها با ارسال درخواست قادر به اجرای دستور است.
• CVE-2025-6218: آسیب‌پذیری Directory Traversal در WinRAR که با تغییر مسیر استخراج فایل‌ها، اجازه اجرای دستورهای مخرب را می‌دهد.
• CVE-2025-3052: آسیب‌پذیری در NVRAM که اجازه دورزدن امضاهای UEFI Secure Boot را می‌دهد و می‌تواند بارگذاری ماژول‌های غیرمعتبر را ممکن کند.
• CVE-2025-49113: آسیب‌پذیری عدم اعتبارسنجی داده‌ها در Roundcube Webmail که بعد از ورود به سیستم قابل سوءاستفاده است و به مهاجم اجازه اجرای کدهای دلخواه می‌دهد.
• CVE-2025-1533: نقص overflow در درایور AsIO3.sys که باعث ایجاد صفحه آبی مرگ (BSOD) می‌شود.

نتیجه‌گیری و راهکارهای امنیتی

تعداد آسیب‌پذیری‌ها در سال ۲۰۲۵ همچنان رو به افزایش است. در سه‌ماهه دوم، ثبت CVEهای جدید روند مثبتی داشته. برای حفاظت از سیستم‌ها، باید اولویت را به نصب سریع به‌روزرسانی‌ها و استفاده از نرم‌افزارهای کاهش‌دهنده آسیب‌های پس از بهره‌برداری داد. علاوه بر این، باید فریم‌ورک‌های C2 که مهاجمان روی سیستم‌های آلوده نصب می‌کنند را شناسایی و خنثی کرد. حفظ امنیت زیرساخت‌ها نیازمند پایش مداوم و نظارت دقیق بر محیط پیرامونی است. توجه ویژه‌ای باید به حفاظت اندپوینت ها داشت، چرا که یک راهکار قابل‌اعتماد برای شناسایی و مسدودسازی بدافزارها امنیت دستگاه‌های شرکتی را تضمین می‌کند.

علاوه بر این، سیستم‌های شرکتی باید به گونه‌ای باشند که نصب سریع وصله‌های امنیتی و مدیریت خودکار به‌روزرسانی‌ها به سرعت انجام شود. همچنین، رصد فعال تهدیدات و بهبود آگاهی کارکنان از طریق آموزش‌های مداوم، به تقویت امنیت کمک می‌کند. محصولات خط Kaspersky Next، نمونه‌ای از راهکارهای جامع هستند که به شرکت‌ها کمک می‌کنند تا آسیب‌پذیری‌ها را به موقع شناسایی و مدیریت کنند و در برابر تهدیدات جدید واکنش نشان دهند.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.