حملات سایبری جدید به VMware و XWiki در جریان است!

اخیراً، CISA هشداری را منتشر کرده است مبنی بر اینکه حملاتی علیه آسیب‌پذیری‌های موجود در VMware Aria Operations، VMware Tools و XWiki در جریان هستند. در این مقاله به بررسی این هشدار، جزئیات فنی آسیب‌پذیری‌ها، راهکارهای اصلاح، و نیز توصیه‌های عملی برای مدیران فناوری اطلاعات خواهیم پرداخت.

هشدار CISA و آنچه بدان معناست

آژانس امنیت سایبری ایالات متحده (CISA) در تاریخ ۳۰ اکتبر ۲۰۲۵ گزارش داد که دو آسیب‌پذیری با شناسه‌های CVE‑۲۰۲۵‑۴۱۲۴۴ و CVE‑۲۰۲۵‑۲۴۸۹۳ در «فهرست آسیب‌پذیری‌های شناخته‌شده در حال بهره‌برداری» (Known Exploited Vulnerabilities – KEV) قرار گرفته‌اند. 
به عبارت دیگر، این دو نقص نه فقط به‌صورت نظری وجود داشتند، بلکه شواهدی از بهره‌برداری فعال آن‌ها در محیط‌های واقعی دیده شده است. برای سازمان‌ها این بدان معناست که زمان اقدام کوتاه است و باید فوراً وصله‌های امنیتی را اعمال کنند.

جزئیات آسیب‌پذیری‌ها

CVE-2025-41244 در VMware

• این آسیب‌پذیری متعلق به محصولات ­­VMware Aria Operations و ­­VMware Tools از شرکت Broadcom است.

• مشخصات فنی: کاربر محلی (local) با دسترسی غیرمدیر (non-admin) که به ماشینی مجازی (VM) دسترسی دارد و VMware Tools در آن نصب شده است و این VM از طریق Aria Operations با SDMP فعال، مدیریت می‌شود، می‌تواند با مخاطره‌پذیری مذکور، حقوق خود را تا «root» در همان VM ارتقا دهد.

• امتیاز CVSS این نقص «۷٫۸» در نسخه ۳.x گزارش شده است.

• تولیدکننده راهکار: جهت رفع، نسخه‌های VMware Tools 12.5.4، ۱۳.۰.۵ و نسخه VMware Aria Operations 8.18.5 یا جدیدتر ارائه شده‌اند.

• نکته مهم: گزارش‌ها حاکی‌اند که گروه تهدید وابسته به کشور چین با نام ‎UNC5174 حداقل از اکتبر ۲۰۲۴ از این نقص بهره‌برداری کرده‌اند.

CVE-2025-24893 در XWiki

• این نقص مربوط به محصول ­­XWiki Platform است.
• مشخصات فنی: این یک آسیب‌پذیری اجرای کد از راه دور (Remote Code Execution – RCE) است که نیاز به احراز هویت ندارد (unauthenticated) و از طریق درخواست به endpoint /bin/get/Main/SolrSearch?media=rss&text=…، می‌توان کد مخرب تزریق و اجرا کرد.
• امتیاز CVSS این نقص بسیار بالا بوده است: «۹٫۸».
• نسخه‌های آسیب‌پذیر: از نسخه ۵.۳-milestone-2 تا < 15.10.11، و از ۱۶.۰.۰-rc-1 تا < 16.4.1. نسخه‌های ۱۵.۱۰.۱۱، ۱۶.۴.۱ و ۱۶.۵.0RC1 و بالاتر این نقص را رفع کرده‌اند.
• رویداد واقعی: گزارش‌های عمومی نشان داده‌اند که بهره‌برداری از این نقص عملیاتی شده است، از جمله به‌کارگیری آن برای نصب «ماینر ارز دیجیتال» روی سیستم‌های هدف.

چرا این حملات جدی هستند؟

1. سطح دسترسی شدید: در هر دو مورد، امکان اجرای کد یا کسب دسترسی بسیار بالا (root) وجود دارد؛ یعنی مهاجمان پس از نفوذ اولیه می‌توانند کنترل گسترده‌ای بر سامانه داشته باشند.
2. بهره‌برداری واقعی: این‌ها دیگر صرفاً آسیب‌پذیری‌های نظری نیستند؛ مدارکی از بهره‌برداری فعال آن‌ها وجود دارد.
3. زیرساخت‌های حساس هدف قرار گرفته‌اند: محصولات شرکت VMware در بسیاری از دیتاسنترها و محیط‌های ابری استفاده می‌شوند؛ نرم‌افزار XWiki نیز در سازمان‌ها و بسترهای اشتراک دانش کاربرد دارد. لذا فعالیت موفق مهاجم می‌تواند منجر به نفوذ عبور از مجازی‌سازی، سرقت داده‌ها، ایجاد پایداری (persistence) و گسترش افقی به دیگر بخش‌های شبکه شود.
4. زمان محدود برای واکنش: CISA برای برخی از این آسیب‌ها نظیر VMware موعد ۲۰ نوامبر ۲۰۲۵ را برای اصلاح تعیین کرده است.

توصیه‌های فنی برای مدیران امنیت و زیرساخت

۱. شناسایی سریع سامانه‌های آسیب‌پذیر

• فهرستی کامل از ماشین‌های مجازی را تهیه کنید که در آن‌ها VMware Tools نصب شده است و توسط Aria Operations با SDMP مدیریت می‌شوند.
• بررسی کنید کدام نسخه‌های XWiki در سازمان یا زیرساخت‌های شما فعال هستند و آیا نسخه‌های آسیب‌پذیر را اجرا می‌کنند یا خیر.
• از ابزارهای مدیریت دارایی (asset management) و مدیریت آسیب‌پذیری استفاده کنید تا موارد فوق را شناسایی کنید.

۲. اعمال وصله‌ها بلافاصله

• برای VMware: نسخه‌های مناسب (مثلاً VMware Tools 13.0.5 یا VMware Cloud Foundation 9.0.1.0 و بعد از آن) سریعاً نصب شوند.
• برای XWiki: ارتقای نسخه به ۱۵.۱۰.۱۱، ۱۶.۴.۱ یا جدیدتر ضروری است.
• اگر امکان ارتقا فوری وجود ندارد، حداقل اقدامات موقت شامل غیرفعال کردن SDMP در Aria Operations و محدود کردن دسترسی‌های محلی را بررسی کنید

۳. کاهش سطح تهدید با بکارگیری بهترین شیوه‌ها

• اصل کم‌ترین امتیاز لازم (least privilege) را برای کاربران محلی پیاده کنید؛ کاربرانی که دسترسی به VM دارند نباید الزاماً VMware Tools را بتوانند کنترل کنند.
• تفکیک شبکه (network segmentation) را برای مجازی‌سازی و مدیریت انجام دهید تا در صورت نفوذ، گسترش حمله کاهش یابد.
• پایش لاگ‌ها و رفتارهای مشکوک را تقویت کنید—مثلاً بررسی ایجاد فایل‌های غیرمعمول در /tmp یا رفتار‌های دانلود/اجرای رمزگذاری‌شده که در گزارش‌های XWiki دیده شده است.
• طرح پاسخ به حادثه (incident response) را تمرین کنید تا تیم‌های IT و امنیت بدانند در صورت رخداد چه اقداماتی انجام دهند.

۴. آگاهی‌رسانی به سازمان ها

• به سازمان ها (مانند تیم‌های عملیات، دیتاسنتر، ابری، تیم امنیت) اطلاع دهید که الزام وجود دارد به‌سرعت این مسئله را جدی بگیرند.
• برای کاربران نهایی با دسترسی VM، آموزش داده شود تا از نصب نرم‌افزارهای غیرمجاز خودداری کنند و گزارش تغییرات مشکوک را به تیم امنیت ارائه دهند.

حملات اخیر علیه آسیب‌پذیری‌های VMware Aria Operations / VMware Tools و XWiki نشان می‌دهند که زیرساخت‌های مجازی‌سازی و پلتفرم‌های اشتراک دانش، همچنان هدف جذابی برای مهاجمان هستند. با توجه به اطلاعیه CISA و مستندات منتشر‌شده، هر تأخیر در اعمال وصله‌ها و ملاحظات امنیتی می‌تواند هزینه‌بر باشد.