2025-yilda faol ekspluatatsiya qilingan eng xavfli “Zero-Day” zaifliklar

2025-yil kiberxavfsizlik tarixida alohida davr sifatida eslanadi. Chunki ushbu yilda noma’lum va yopiqligicha qolayotgan “zero-day” zaifliklarning ekspluatatsiya tezligi hamda ko‘lami misli ko‘rilmagan darajada oshdi. Faqatgina yilning birinchi yarmida 23 600 dan ortiq yangi zaiflik qayd etildi, bu esa 2024-yilga nisbatan 16 foiz ko‘pdir. Eng xavflisi shundaki, ularning katta qismi – jumladan Chrome, Windows, Apple, Android, SAP va Citrix kabi keng tarqalgan mahsulotlardagi zaifliklar – xavfsizlik yangilanishi chiqarilishidan oldin hujumchilar tomonidan faol ishlatildi.

“Zero-Day” hujumlarning yangi bosqichi

Avvallari noma’lum zaifliklardan foydalanish faqat davlat qo‘llab-quvvatlagan maxsus guruhlar qo‘lidan kelardi. Endilikda esa ularni ransomware to‘dalari ham tezkorlik bilan o‘zlashtirib, korxonalarga jiddiy zarar yetkazmoqda. Statistikaga ko‘ra, ma’lum ekspluatatsiya qilingan zaifliklarning qariyb 30 foizi ochiqlangandan keyin atigi 24 soat ichida qurolga aylantirilmoqda.

Bunday hujumlar nafaqat brauzerlar orqali, balki korporativ tarmoqlar, ERP tizimlari, autentifikatsiya protokollari va hatto oddiy rasm fayllari orqali ham amalga oshirilmoqda. Demak, foydalanuvchi oddiygina bir veb-sahifani ochish yoki rasmni ko‘rish orqali qurbon bo‘lishi mumkin.

2025-yilda xavfli hisoblangan ayrim “zero-day”lar

  • Google Chrome (CVE-2025-10585, CVE-2025-6558 va boshqalar) – V8 dvigateli hamda GPU komponentlaridagi xatoliklar tufayli brauzer sandboxidan chiqib, foydalanuvchi tizimini egallash imkonini berdi.
  • Citrix NetScaler (CVE-2025-7775) – 9.2 darajadagi tanqidiy zaiflik orqali korporativ tarmoqlarni masofadan boshqarish imkoniyati yaratildi. Bu zaiflikdan foydalangan holda web-shell o‘rnatilgan holatlar qayd etildi.
  • Microsoft SharePoint (CVE-2025-53770, CVE-2025-53771) – “ToolShell” nomli kampaniya doirasida ikkita zaiflik zanjir sifatida ishlatilib, autentifikatsiyani chetlab o‘tish va kod bajarishga olib keldi.
  • SAP NetWeaver (CVE-2025-31324) – 10.0 ballik mukammal darajadagi xato orqali tizimga istalgan fayl yuklash va butun ERP tizimini egallash mumkin bo‘ldi. Bu zaiflikdan ham APT guruhlari, ham Qilin ransomware to‘dasi foydalangan.
  • Android va Samsung qurilmalari (CVE-2025-38352, CVE-2025-48543, CVE-2025-21043) – Lokal hujumlar va rasmni qayta ishlash orqali qurilma darajasida imtiyozlarni egallash imkonini berdi. Ayrim zaifliklar shaxsiy kuzatuv va josuslik kampaniyalarida qo‘llangan.
  • Apple ekotizimi (CVE-2025-43300 va boshqalar) – Oddiygina rasm ko‘rish orqali iPhone, iPad va Mac qurilmalarini egallash imkonini beruvchi xatoliklar qayd etildi. Apple yil davomida yettita faol ekspluatatsiya qilingan “zero-day”ni yamoqlashga majbur bo‘ldi.
  • Microsoft Windows (CVE-2025-29824, CVE-2025-53779 va boshqalar) – Kerberos autentifikatsiya tizimidagi xatoliklar Active Directory muhitini to‘liq buzishga olib keldi. CLFS drayveridagi zaiflik esa ransomware guruhlari tomonidan faol qo‘llandi.
  • Sitecore (CVE-2025-53690) – ViewState deserializatsiyasi orqali masofadan kod bajarish mumkin bo‘lgan zaiflik, Mandiant tomonidan kuzatilgan hujumlarda faol ishlatilgan.

Qanday xulosa qilish kerak?

2025-yil tajribasi shuni ko‘rsatdiki, “zero-day” zaifliklar endi istisno emas, balki kundalik xavfga aylandi. Bugungi kunda hujumchilar nafaqat noma’lum xatolarni tez topib foydalanmoqda, balki ularni murakkab zanjirlarga bog‘lab, aniqlashni qiyinlashtirmoqda.

Shunday ekan, “patch va kutish” usuli endi yetarli emas. Zamonaviy korxonalar quyidagi choralarni ko‘rishi shart:

  • Ko‘p qatlamli himoya (defense-in-depth) – faqat yamoq emas, balki aniqlash, kuzatish va tezkor javob berish imkoniyatlari ham bo‘lishi kerak.
  • Xavfsizlik monitoringi – tarmoqdagi g‘ayrioddiy faoliyatni erta aniqlash uchun SIEM va SOAR yechimlaridan foydalanish.
  • APT va ransomware guruhlariga qarshi proaktiv tahlil – xatti-harakatlar asosida tahdidlarni aniqlash, hatto noma’lum zaifliklardan foydalangan holatda ham.
  • Xodimlar va foydalanuvchilarni xabardor qilish – shubhali havola, fayl yoki ilovalarni ochmaslik madaniyatini mustahkamlash.

2025-yilgi “zero-day” hujumlari bizga bitta asosiy haqiqatni ko‘rsatdi: noma’lum tahdidlar endi kelajak emas, balki hozirgi kundalik muammo. Google, Microsoft, Apple, SAP yoki Citrix kabi yirik kompaniyalar ham bundan mustasno emas.

Shunday ekan, tashkilotlar faqatgina yamoqni kutib o‘tirish o‘rniga, hujum sodir bo‘lishini oldindan hisobga oladigan, bardoshlilikka tayangan xavfsizlik arxitekturasini joriy etishi shart. Zero-daylar zamonida faqat hushyorlik, hamkorlik va uzluksiz himoya strategiyasi bizni kiberxavflardan asrab qolishi mumkin.