Skip to content

12 000 dan ortiq KerioControl firewall qurilmalari jiddiy zaiflik ta’sirida

Bugungi kunda kiberxavfsizlik tobora dolzarb muammoga aylanib borayotgan bir paytda, GFI KerioControl firewall qurilmalarida juda xavfli zaiflik aniqlandi. CVE-2024-52875 deb nomlangan ushbu zaiflik 9.2.5 dan 9.4.5 gacha bo‘lgan versiyalarni qamrab oladi va masofadan kod bajarishga (RCE – Remote Code Execution) imkon beradi. Ayni vaqtda kiberjinoyatchilar ushbu ekspluatatsiya imkoniyatidan faol foydalanayotganliklari sababli, butun dunyo bo‘ylab minglab qurilmalar tahdid ostida qolmoqda.

Tahlilchilarning aniqlashicha, ushbu zaiflik KerioControl web interfeysining quyidagi autentifikatsiyasiz URI yo‘nalishlarida joylashgan:

  • /nonauth/addCertException.cs
  • /nonauth/guestConfirm.cs
  • /nonauth/expiration.cs

Bu sahifalar foydalanuvchi tomonidan yuborilayotgan dest GET parametri orqali kiruvchi ma’lumotlarni to‘g‘ri filtrlash jarayonini bajarmaydi. Natijada, hujumchilar HTTP javoblariga chiziq uzilishi (LF – Line Feed) belgilarini kiritish orqali HTTP javob ajratish (HTTP response splitting) hujumlarini amalga oshirishlari mumkin. Bu esa ochiq yo‘naltirishlar (open redirects) va aks ettirilgan XSS (cross-site scripting) hujumlariga olib kelishi mumkin.

Tadqiqotchilar tomonidan tayyorlangan dalil sifatidagi hujum (PoC – Proof of Concept) shuni ko‘rsatadiki, tajovuzkorlar ushbu zaiflikdan foydalanib, firibgarlik bilan yaratilgan URL-lar orqali tizim administratorlarini yo‘ldan urishi mumkin. Agar administrator ushbu zararli havolani bossa, firewall’ning firmware yangilash funksiyasidan foydalanib, zararli .img fayl yuklanishi va hujumchiga tizimda root huquqlarini qo‘lga kiritish imkoniyati berilishi mumkin.

Bu zaiflik autentifikatsiyasiz URI orqali ekspluatatsiya qilinishi sababli, tajovuzkorlar uni ijtimoiy muhandislik (social engineering) usullari bilan birga qo‘llab, administratorlarni tuzoqqa tushirishlari ehtimoli katta.

2025-yil 9-fevral holatiga ko‘ra, The Shadowserver Foundation tashkiloti tomonidan dunyo bo‘ylab 12 229 ta hali yamalanmagan KerioControl qurilmalari aniqlandi. Shadowserver tomonidan e’lon qilingan issiqlik xaritasi zaiflikning Shimoliy Amerika, Yevropa va Osiyoda keng tarqalganligini ko‘rsatadi.

Tashkilot, shuningdek, ushbu zaiflikni nishonga olgan faol skanerlash harakatlarini o‘zining honeypot sensorlari orqali kuzatgan. Bu esa hujumchilar allaqachon ekspluatatsiya jarayonlarini boshlab yuborganliklaridan dalolat beradi.

Afsuski, milliy zaifliklar bazasi (NVD – National Vulnerability Database) tomonidan hali rasmiy maslahat yoki yangilanish e’lon qilinmaganligi tufayli ko‘plab tashkilotlar zaiflikning jiddiyligini anglab yetmagan yoki undan bexabar bo‘lishlari mumkin. Natijada, ularning firewall’lari hujumchilarga ochiq bo‘lib qolmoqda.

Agar ushbu zaiflik muvaffaqiyatli ekspluatatsiya qilinsa, tajovuzkorlar qurilmalar ustidan to‘liq nazorat o‘rnatishlari, kompaniya tarmoqlariga kirishlari yoki boshqa tizimlarga hujum qilish uchun platforma sifatida foydalanishlari mumkin. Bu esa ma’lumotlar o‘g‘irlanishi, ransomware hujumlari yoki boshqa kiberjinoyatlarga sabab bo‘lishi mumkin.

GFI Software hozircha CVE-2024-52875 zaifligini bartaraf etuvchi rasmiy yamoq (patch) yoki ogohlantirish e’lon qilmagan. Shuning uchun, ushbu firewall’lardan foydalanayotgan tashkilotlar quyidagi choralarni ko‘rishlari lozim:

  1. Kirishni cheklash: Web interfeysga faqat ishonchli IP-manzillar orqali kirishga ruxsat berish.
  2. Monitoring o‘rnatish: Firewall tizimlarida shubhali faoliyat yoki buzilish belgilari bor-yo‘qligini muntazam tekshirish.
  3. Yangilanishlarni kuzatish: GFI Software tomonidan e’lon qilinadigan barcha dasturiy ta’minot yangilanishlarini kuzatib borish va imkon qadar tezroq o‘rnatish.
  4. Administratorlarni o‘qitish: Firewall tizimini boshqaradigan mutaxassislarni xavfli havolalar va ularning mumkin bo‘lgan zararli oqibatlari haqida xabardor qilish.

Shadowserver tashkiloti barcha tashkilotlarni o‘z tizimlarining zaif yoki zaif emasligini tekshirishga chaqirmoqda. Buning uchun ular monitoring platformalaridan foydalanib, xavfsizlik buzilishi belgilari bor-yo‘qligini tekshirishlari kerak.

CVE-2024-52875 zaifligi kiberxavfsizlik sohasida yana bir ogohlantiruvchi signal bo‘lib xizmat qiladi. Firewall tizimlarining muhim xavfsizlik devorlari ekanligi inobatga olinsa, ularning ekspluatatsiya qilinishi tashkilotlarga katta zarar yetkazishi mumkin.

12 000 dan ortiq zaif qurilmalar hali ham internetda ochiq holda bo‘lib, tajovuzkorlarning hujumiga duch kelish ehtimoli yuqori. Shu sababli, barcha tashkilotlar o‘z firewall’larini imkon qadar tezroq yangilashi yoki muqobil himoya choralarini ko‘rishi lozim.

Texnologik muhit tobora murakkablashib borayotgan bir paytda, yamoqlarni o‘z vaqtida o‘rnatish va xavfsizlik choralarini doimiy ravishda mustahkamlash har qanday tashkilot uchun eng muhim ustuvorliklardan biri bo‘lishi kerak.