روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در سه‌ماهه سوم، مهاجمان به سوءاستفاده از آسیب‌پذیری‌های WinRAR ادامه دادند، در حالی که تعداد کل آسیب‌پذیری‌های ثبت‌شده دوباره افزایش یافت. در این مقاله قصد داریم به آمار مربوط به آسیب‌پذیری‌ها و اکسپلویت‌های منتشرشده، رایج‌ترین مشکلات امنیتی در ویندوز و لینوکس و آسیب‌پذیری‌هایی که در حملات APT برای راه‌اندازی گسترده چارچوب‌های C2 مورد استفاده قرار می‌گیرند، بپردازیم. این گزارش از داده‌های ناشناس Kaspersky Security Network که با رضایت کاربران ارائه شده و همچنین اطلاعات منابع باز استفاده می‌کند. با ما همراه بمانید.

تعداد ماهانه آسیب‌پذیری‌های منتشرشده در سه‌ماهه سوم ۲۰۲۵ همچنان بالاتر از ارقام ثبت‌شده در سال‌های گذشته است. در مجموع سه ماه، بیش از ۱۰۰۰ آسیب‌پذیری بیشتر نسبت به سال قبل منتشر شده است. پایان این سه‌ماهه روند رو به افزایشی در تعداد CVEهای ثبت‌شده نشان می‌دهد و پیش‌بینی می‌کنیم این رشد تا سه‌ماهه چهارم ادامه یابد. با این حال، انتظار می‌رود تعداد کل آسیب‌پذیری‌های منتشرشده تا پایان سال کمی نسبت به رقم سپتامبر کاهش یابد. نگاهی به توزیع ماهانه آسیب‌پذیری‌هایی که هنگام ثبت به‌عنوان بحرانی رتبه‌بندی شده‌اند (امتیاز CVSS بالاتر از ۸.۹)نشان می‌دهد که این معیار در سه‌ماهه سوم کمی کمتر از سال ۲۰۲۴ بوده است:

آمار اکسپلویت

این بخش شامل آمار سوءاستفاده از آسیب‌پذیری‌ها در سه‌ماهه سوم ۲۰۲۵می‌شود. داده‌ها از منابع باز و همچنین اطلاعات جمع‌آوری‌شده توسط ما گرفته شده است.

سوءاستفاده از آسیب‌پذیری‌های ویندوز و لینوکس

در سه‌ماهه سوم ۲۰۲۵، همان‌طور که قبلاً هم دیده شد، بیشترین اکسپلویت‌های محصولات آسیب‌پذیر مایکروسافت آفیس انجام شده است.

بیشترین سوءاستفاده‌های ویندوز که توسط راهکارهای کسپرسکی شناسایی شد، مربوط به آسیب‌پذیری‌های زیر بود:

• CVE-2018-0802:آسیب‌پذیری اجرای کد از راه دور در بخش Equation Editor
• CVE-2017-11882: آسیب‌پذیری اجرای کد از راه دور دیگر، باز هم در Equation Editor
• CVE-2017-0199: آسیب‌پذیری در Microsoft Office و WordPad که به مهاجم اجازه می‌دهد کنترل سیستم را در دست بگیرد

این آسیب‌پذیری‌ها در گذشته بیشتر از سایرین مورد سوءاستفاده قرار گرفته‌اند.

در سه‌ماهه سوم همچنین مشاهده شد که مهاجمان به طور فعال از آسیب‌پذیری‌های Directory Traversal  که هنگام باز کردن فایل‌های فشرده در WinRAR ایجاد می‌شوند، سوءاستفاده می‌کنند. هرچند اکسپلویت‌های اولیه این آسیب‌پذیری‌ها در فضای واقعی قابل استفاده نیستند، مهاجمان آن‌ها را برای نیازهای خود تغییر داده‌اند.

• CVE-2023-38831:  آسیب‌پذیری در WinRAR که شامل مدیریت نادرست اشیاء داخل فایل‌های فشرده می‌شود. این آسیب‌پذیری در گزارش ۲۰۲۴ به تفصیل بررسی شد.
• CVE-2025-6218 (ZDI-CAN-27198): آسیب‌پذیری که به مهاجم اجازه می‌دهد مسیر نسبی مشخص کرده و فایل‌ها را در هر دایرکتوری دلخواه استخراج کند. مهاجم می‌تواند فایل‌ها را در پوشه برنامه‌های سیستم یا پوشه راه‌اندازی قرار دهد تا کد مخرب اجرا شود. برای جزئیات بیشتر، به گزارش سه‌ماهه دوم ۲۰۲۵ مراجعه کنید.
• CVE-2025-8088:  آسیب‌پذیری روز صفر مشابه  CVE-2025-6128، که در تحلیل حملات APT کشف شد.مهاجمان از NTFS Streams  برای دور زدن کنترل‌ها در دایرکتوری مورد نظر استفاده کرده‌اند. در ادامه به این آسیب‌پذیری بیشتر خواهیم پرداخت.

لازم به ذکر است که آسیب‌پذیری‌های کشف‌شده در ۲۰۲۵ به سرعت محبوبیت خود را به اندازه آسیب‌پذیری‌های ۲۰۲۳ افزایش می‌دهند.تمام CVEهای ذکرشده می‌توانند برای دسترسی اولیه به سیستم‌های آسیب‌پذیر مورد استفاده قرار گیرند. توصیه می‌شود به سرعت به‌روزرسانی‌های نرم‌افزارهای مربوطه را نصب کنید.طبق داده‌های جمع‌آوری‌شده، تعداد کاربران ویندوزی که با اکسپلویت‌ها مواجه شدند در سه‌ماهه سوم نسبت به دوره گزارش قبلی افزایش یافته است. با این حال، این عدد کمتر از سه‌ماهه سوم ۲۰۲۴ است.

برای دستگاه‌های لینوکس، بیشترین سوءاستفاده‌ها از آسیب‌پذیری‌های هسته سیستم‌عامل زیر شناسایی شد:

CVE-2022-0847 (Dirty Pipe):آسیب‌پذیری که اجازه افزایش دسترسی و کنترل برنامه‌های در حال اجرا را به مهاجم می‌دهد.

CVE-2019-13272:  آسیب‌پذیری ناشی از مدیریت نادرست ارث‌بری دسترسی‌ها که می‌تواند برای افزایش دسترسی سوءاستفاده شود.

CVE-2021-22555: آسیب‌پذیری overflow در حافظه Heap زیرسیستم Netfilter. سوءاستفاده گسترده از این آسیب‌پذیری به دلیل استفاده از تکنیک‌های رایج دستکاری حافظه است، مانند دستکاری داده‌های “msg_msg”، که منجر به یک مشکل امنیتی Use-After-Free می‌شود.

نگاهی به تعداد کاربرانی که با اکسپلویت‌ها مواجه شده‌اند نشان می‌دهد این تعداد همچنان در حال افزایش بوده و در سه‌ماهه سوم ۲۰۲۵، بیش از شش برابر رقم سه‌ماهه اول ۲۰۲۳ شده است. نصب به‌روزرسانی‌های امنیتی برای سیستم‌عامل لینوکس بسیار مهم است، زیرا هر سال توجه مهاجمان بیشتری را به خود جلب می‌کند، عمدتاً به دلیل افزایش تعداد دستگاه‌های کاربران که لینوکس اجرا می‌کنند.

رایج‌ترین اکسپلویت‌های منتشرشده

در سه‌ماهه سوم ۲۰۲۵، اکسپلویت‌هایی که آسیب‌پذیری‌های سیستم‌عامل را هدف قرار می‌دهند، همچنان بیشترین سهم را دارند، نسبت به اکسپلویت‌هایی که نرم‌افزارهای دیگر را هدف می‌گیرند. با این حال، سهم اکسپلویت‌های مرورگر در این سه‌ماهه به‌طور قابل توجهی افزایش یافته و اکنون با سهم اکسپلویت‌های نرم‌افزارهای غیرسیستم‌عاملی برابر شده است.

اکسپلویت‌های جدید Microsoft Office وSharePoint

در سه‌ماهه سوم ۲۰۲۵ هیچ اکسپلویت جدیدی برای محصولات Microsoft Office منتشر نشد، درست مانند سه‌ماهه دوم. با این حال، PoC‌هایی برای آسیب‌پذیری‌های Microsoft SharePoint منتشر شد. از آنجا که این آسیب‌پذیری‌ها روی بخش‌هایی از سیستم‌عامل هم اثر دارند، آن‌ها را زیر دسته‌ی آسیب‌پذیری‌های سیستم‌عامل قرار دادیم.

سوءاستفاده از آسیب‌پذیری‌ها در حملاتAPT

ما داده‌ها را در مورد آسیب‌پذیری‌هایی که در حملات APT سوءاستفاده شدند، بررسی کردیم. داده‌ها از منابع باز، تحقیقات و اطلاعات جمع‌آوری‌شده ما گرفته شده‌اند. حملات APT در سه‌ماهه سوم ۲۰۲۵ بیشتر با آسیب‌پذیری‌های روز صفر انجام شد که در جریان بررسی رخدادهای جداگانه کشف شدند. پس از انتشار عمومی این آسیب‌پذیری‌ها، موج بزرگی از سوءاستفاده‌ها رخ داد. لیست نرم‌افزارهایی که این آسیب‌پذیری‌ها را داشتند نشان می‌دهد ابزار جدیدی برای دسترسی اولیه به زیرساخت‌ها و اجرای کد روی دستگاه‌ها و سیستم‌عامل‌ها در حال شکل‌گیری است. آسیب‌پذیری‌های قدیمی مانند CVE-2017-11882 هنوز استفاده می‌شوند، زیرا امکان استفاده از فرمت‌های مختلف داده و پیچاندن اکسپلویت برای دور زدن تشخیص وجود دارد. اما اکثر آسیب‌پذیری‌های جدید به فرمت داده خاصی نیاز دارند، که کار شناسایی و ردیابی سوءاستفاده را آسان‌تر می‌کند. با این حال، ریسک سوءاستفاده بالا است و توصیه می‌کنیم به‌روزرسانی‌های منتشرشده را سریعاً نصب کنید.

چارچوب‌های C2
در این بخش، محبوب‌ترین چارچوب‌های C2 که مهاجمان استفاده می‌کنند بررسی شده و آسیب‌پذیری‌هایی که با این چارچوب‌ها در حملات APT استفاده شده‌اند، تحلیل می‌شوند.

آسیب‌پذیری‌هایی که برای راه‌اندازی و حرکت در شبکه قربانی استفاده شدند شامل موارد زیر هستند:

• CVE-2020-1472 (ZeroLogon): دسترسی به سیستم آسیب‌پذیر و اجرای دستورات با دسترسی مدیریتی.
• CVE-2021-34527 (PrintNightmare): سوءاستفاده از نقص در سرویس پرینت ویندوز و اجرای دستورات با دسترسی بالا.
• CVE-2025-6218 و CVE-2025-8088: آسیب‌پذیری‌های Directory Traversal در WinRAR که اجازه می‌دهد فایل‌ها بدون اطلاع کاربر در مسیر دلخواه استخراج شوند.

آسیب‌پذیری‌های مهم

در سه‌ماهه سوم ۲۰۲۵ چند آسیب‌پذیری مهم منتشر شد که شامل نقص‌های بحرانی در SharePoint (ToolShell)، WinRAR و محصولات VMwareمی‌شد و می‌توانستند به اجرای کد، دور زدن احراز هویت یا افزایش سطح دسترسی منجر شوند.

نتیجه‌گیری و توصیه‌ها

تعداد آسیب‌پذیری‌های ثبت‌شده در سه‌ماهه سوم ۲۰۲۵ همچنان رو به افزایش بود و برخی از آن‌ها تقریباً بلافاصله توسط مهاجمان مورد سوءاستفاده قرار گرفتند. به نظر می‌رسد این روند در آینده نیز ادامه داشته باشد.بیشتر اکسپلویت‌های رایج در ویندوز برای دسترسی اولیه به سیستم استفاده می‌شوند و در همین مرحله است که گروه‌های APT به‌طور فعال از آسیب‌پذیری‌های جدید اکسپلویت می‌کنند. برای جلوگیری از نفوذ مهاجمان به زیرساخت‌ها، سازمان‌ها باید به‌طور منظم سیستم‌ها را از نظر آسیب‌پذیری بررسی کرده و پچ‌های امنیتی را به‌موقع نصب کنند. این اقدامات را می‌توان با استفاده از Kaspersky Systems Management ساده و خودکار کرد و Kaspersky Symphony نیز حفاظت جامع و انعطاف‌پذیری در برابر حملات سایبری با هر سطحی از پیچیدگی فراهم می‌کند.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.