کشف آسیب‌پذیری در لینوکس

PAM-PKCS#11 یک ماژول احراز هویت برای Linux-PAM است که ورود کاربران را بر اساس گواهینامه‌های X.509 امکان‌پذیر می‌سازد. آسیب‌پذیری CVE-2025-24032 با شدت 9.2 یک نقص مهم در امنیت احراز هویت مبتنی بر گواهینامه‌ی X.509 در pam_pkcs11 است که به مهاجم اجازه می‌دهد بدون داشتن کلید خصوصی، با جعل یک توکن وارد سیستم شود.

جزئیات آسیب‌پذیری

در نسخه‌های آسیب‌پذیر این ماژول، اگر مقدار cert_policy در تنظیمات pam_pkcs11.conf برابر با none باشد (که مقدار پیش‌فرض است)، ماژول تنها اعتبار گواهینامه‌ی دیجیتال موجود در توکن را بررسی می‌کند. در این وضعیت، امضای کلید خصوصی بررسی نمی‌شود.

بردار CVSS: 4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:L/SI:L/SA:L نشان می‌دهد که:

• این آسیب‌پذیری از راه دور و بدون نیاز به احراز هویت قابل بهره‌برداری است (AV:N, PR:N)،
• مهاجم تنها با داشتن اطلاعات عمومی کاربر می‌تواند حمله را انجام دهد (AT:P)،
• نیازی به تعامل با کاربر ندارد (UI:N)،
• موفقیت در حمله، منجر به نقص محرمانگی (VC:H)، یکپارچگی داده‌ها (VI:H) و تأثیر کم بر دسترسی (VA:L) می‌شود،
• بهره‌برداری از این آسیب‌پذیری می‌تواند بر امنیت دیگر سیستم‌ها تأثیر بگذارد، اما شدت این تأثیر کم تا متوسط ارزیابی شده است.

نسخه‌های تحت تأثیر

تمامی نسخه‌های قبل از 0.6.13 این ماژول تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی

• به‌روزرسانی pam_pkcs11 به نسخه‌ی 0.6.13 یا بالاتر.
• در فایل تنظیمات pam_pkcs11.conf مقدار cert_policy به signature تنظیم شود. این تنظیم، نیاز به امضای دیجیتال کلید خصوصی را برای ورود الزامی می‌کند.
• بررسی لاگ‌های ورود و نظارت بر رفتارهای مشکوک در سیستم‌های حساس.
• استفاده از ماژول‌های امنیتی اضافی برای نظارت بر احراز هویت و جلوگیری از ورودهای غیرمجاز.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-24032

[2]https://www.cve.org/CVERecord?id=CVE-2025-24032

[3]https://github.com/OpenSC/pam_pkcs11/releases/tag/pam_pkcs11-0.6.13