Cisco IOS va IOS XE’dagi yangi (0-Day) zaiflik: tarmoqlar uchun yangi xavf

Kiberxavfsizlik olamida navbatdagi xavotirli xabar tarqaldi: Cisco IOS va IOS XE operatsion tizimlarida yangi (0-day) zaiflik aniqlandi va u allaqachon kiberjinoyatchilar tomonidan faol ravishda ekspluatatsiya qilinmoqda. Ushbu zaiflik CVE-2025-20352 raqami ostida qayd etilgan bo‘lib, kompaniya 2025-yil 24-sentabr kuni rasmiy xavfsizlik ogohlantirishini e’lon qildi.

Zaiflikning mohiyati

Muammo SNMP (Simple Network Management Protocol) subsistemasida joylashgan bo‘lib, stack overflow (CWE-121) orqali yuzaga keladi. Xakerlar maxsus ishlab chiqilgan SNMP paketlarini IPv4 yoki IPv6 orqali yuborib, tizimni izdan chiqarishi yoki undan to‘liq foydalanishi mumkin.

Zaiflik barcha SNMP versiyalariga (v1, v2c va v3) taalluqlidir. Hujumchi imtiyoz darajasiga qarab ikki xil usulda zarar yetkazishi mumkin:

Past imtiyozli foydalanuvchi (masalan, faqat o‘qish huquqiga ega SNMPv2c community string yoki oddiy SNMPv3 foydalanuvchi ma’lumotlari bilan) — tizimni qayta yuklashga majbur qilib, DoS (xizmat ko‘rsatishni rad etish) holatini keltirib chiqarishi mumkin.
Yuqori imtiyozli administrator (masalan, “privilege 15” huquqiga ega foydalanuvchi) esa zaiflikdan foydalanib, tizimda root darajasida istalgan kodni bajarishi va qurilma ustidan to‘liq nazoratni qo‘lga olishi mumkin.

Amaldagi ekspluatatsiya

Cisco’ning PSIRT (Product Security Incident Response Team) xizmati zaiflik allaqachon “vahshiy maydonda” (ya’ni real hujumlarda) ishlatilayotganini tasdiqladi. Dastlabki tekshiruvlar hujumchilar mahalliy administrator ma’lumotlarini qo‘lga kiritib, zaiflikni zanjirli usulda qo‘llaganini ko‘rsatmoqda.

Bu holat nafaqat yangilanishlarni o‘z vaqtida o‘rnatish, balki kuchli parol siyosati va autentifikatsiyani himoya qilishning ham muhimligini ko‘rsatadi.

Qaysi qurilmalar ta’sirlangan?

Zaiflik deyarli barcha SNMP yoqilgan Cisco IOS va IOS XE qurilmalariga ta’sir qiladi. Xususan:

Meraki MS390 switchlari (CS 17 va undan avvalgi versiyalar)
Cisco Catalyst 9300 Series switchlari (CS 17 va undan avvalgi versiyalar)

Cisco allaqachon muammoni bartaraf etuvchi IOS XE 17.15.4a yangilanishini chiqargan. Biroq, barcha mijozlarga o‘z qurilmalari uchun maxsus Cisco Software Checker vositasi orqali yangilanishni tekshirish tavsiya etilmoqda.

Mitigatsiya va cheklovlar

Cisco vaqtinchalik yechim sifatida SNMP view sozlash orqali zaif obyekt identifikatorlarini (OID) bloklashni taklif qilmoqda. Ammo bu usul tarmoq monitoringi va qurilmalarni aniqlash kabi funksiyalarga salbiy ta’sir ko‘rsatishi mumkin. Shu bois to‘liq xavfsizlik faqat yangilanish o‘rnatilgandan so‘ng ta’minlanadi.

Cisco IOS va IOS XE’dagi ushbu zaiflik tarmoqlar uchun jiddiy tahdid tug‘dirmoqda. Sababi:

u faol ekspluatatsiya qilinmoqda;
administrator imtiyozlariga ega bo‘lgan xakerlar qurilmani to‘liq boshqarishi mumkin;
vaqtinchalik yechimlar tarmoq boshqaruvini izdan chiqarishi ehtimoli yuqori.

🔐 Shunday ekan, barcha tashkilotlarga imkon qadar tezroq yangilanishlarni o‘rnatish, SNMP’ni faqat ishonchli foydalanuvchilar uchun cheklash va kredensiallarni qat’iy nazorat qilish tavsiya etiladi.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Cisco IOS va IOS XE’dagi yangi (0-Day) zaiflik: tarmoqlar uchun yangi xavf

Zaiflikning mohiyati

Amaldagi ekspluatatsiya

Qaysi qurilmalar ta’sirlangan?

Mitigatsiya va cheklovlar

Zaiflikning mohiyati

Amaldagi ekspluatatsiya

Qaysi qurilmalar ta’sirlangan?

Mitigatsiya va cheklovlar

GitLab’dagi yuqori darajadagi zaifliklar — xizmatlar ishdan chiqishi mumkin

GoAnywhere yangi (Fortra) 0-Day zaifligi: xavfsizlik yangilanishidan (patchdan) oldin hujumlar boshlandi

Active Directory: NTDS.dit bazasini o‘g‘irlash orqali butun domen ustidan nazoratni qo‘lga kiritish