Zyxel qurilmalarida xavfli zaiflik: ikki bosqichli himoya chetlab o‘tildi

Kiberxavfsizlik mutaxassislari Zyxel kompaniyasining ATP va USG turkumiga mansub tarmoq xavfsizlik qurilmalarida jiddiy zaiflik aniqlanganini ma’lum qildi. Bu zaiflik orqali tajovuzkorlar ikki bosqichli autentifikatsiya (2FA) himoyasini aylanib o‘tib, tizim sozlamalarini to‘liq ko‘rish va yuklab olish imkoniyatiga ega bo‘lishlari mumkin.

Mazkur zaiflik CVE-2025-9133 raqami bilan ro‘yxatga olingan bo‘lib, ZLD 5.40 versiyasidagi zysh-cgi nomli komponentda aniqlangan. Zyxel o‘zining rasmiy xavfsizlik byulletenini 2025-yil 21-oktabr kuni e’lon qildi, shuningdek, muammoni bartaraf etuvchi yangilanishni (firmware patch) 20-oktabrda chiqargan.

Zaiflik qanday ishlaydi?

Tadqiqotchi Rainpwn tomonidan aniqlangan ushbu zaiflik autentifikatsiya jarayonining ikkinchi bosqichida, ya’ni foydalanuvchi tasdiqlash kodini kiritayotgan paytda yuzaga chiqadi. Shu oraliqda hujumchi maxsus tuzilgan so‘rov (HTTP POST) orqali tizimga zararli buyruqlarni kiritib yuborishi mumkin.

Normal sharoitda Zyxel qurilmalari foydalanuvchidan tasdiqlash kodi (email yoki Google Authenticator orqali) talab qiladi. Biroq, 2FA jarayoni davomida tizimga yuborilgan so‘rovlar to‘liq tekshirilmaydi, bu esa kiritilgan buyruqlar zanjirini (masalan, “show version; show running-config”) to‘liq vakolat bilan bajarilishiga olib keladi.

Natijada hujumchi firewall sozlamalari, VPN kalitlari, administrator parollari va tarmoq topologiyasi kabi maxfiy konfiguratsiya ma’lumotlarini ko‘rishi va yuklab olishi mumkin.

Texnik jihatdan muammo nimada?

Muammo zysh-cgi nomli modulda joylashgan whitelist (oq ro‘yxat) mexanizmining noto‘g‘ri ishlashidan kelib chiqadi.
Bu mexanizm aslida foydalanuvchiga faqat oldindan belgilangan buyruqlarni (“show version”, “show users current” va hokazo) bajarishga ruxsat beradi. Ammo, buyruqlarni tahlil qilish mexanizmi faqat prefiksni solishtiradi, u esa bir nechta buyruqni ajratish (tokenizatsiya) funksiyasini bajarmaydi.

Masalan, hujumchi quyidagi so‘rovni yuborsa:

filter=js2&cmd=show%20version;show%20running-config&write=0

tizim birinchi buyruqni “show version” deb qabul qiladi va ruxsat beradi. Ammo “;” belgisi orqali ulanib kelgan “show running-config” buyrug‘i ham to‘liq huquq bilan bajariladi, natijada butun konfiguratsiya ekranga chiqariladi.

Tahlil natijalari: zaiflik kimlarga ta’sir qiladi?

Tadqiqotlarga ko‘ra, zaiflik ayniqsa cheklangan vakolatli foydalanuvchilar (user type = 0x14) uchun xavfli. Bu foydalanuvchilar, aslida, tizimga faqat cheklangan kirish huquqiga ega bo‘lishi kerak edi. Biroq zaiflik ularni yuqori darajadagi administrator vakolatiga ega qilib qo‘yishi mumkin.

Bundan tashqari, zaiflik CVE-2025-8078 nomli boshqa jiddiy muammo bilan bir vaqtning o‘zida aniqlangani, Zyxel autentifikatsiya tizimining arxitekturasida tizimli muammolar mavjudligini ko‘rsatadi.

CISA va mutaxassislar tavsiyasi

Kiberxavfsizlik va infratuzilmani himoya qilish agentligi (CISA) barcha tashkilotlarni va foydalanuvchilarni ZLD 5.40 versiyasini zudlik bilan yangilashga chaqirmoqda.
Agar yangilanishni o‘rnatishning imkoni bo‘lmasa, quyidagi xavfsizlik choralarini ko‘rish zarur:

  • Tarmoqni segmentatsiya qilish, ya’ni boshqaruv interfeyslarini tashqi tarmoqlardan ajratish;
  • Veb-ilova xavfsizlik devori (WAF) orqali zararli so‘rovlarni aniqlash va bloklash;
  • Avtorizatsiya jurnallarini (access logs) muntazam tahlil qilish;
  • Tashqi HTTP POST so‘rovlari uchun monitoring va tahlil tizimini yo‘lga qo‘yish;
  • Zarur bo‘lsa, soxta autentifikatsiya urinishlariga nisbatan avtomatik bloklash mexanizmini joriy etish.

Ushbu holat yana bir bor shuni ko‘rsatdiki, ikki bosqichli autentifikatsiya (2FA) ham kutilmagan kod xatolari tufayli zaif bo‘lishi mumkin. Kiberjinoyatchilar texnik tafsilotlardan foydalanib, eng ishonchli deb hisoblangan himoya qatlamlarini ham chetlab o‘tish yo‘lini topishadi.

Mutaxassislarning fikricha, tizimlarni muntazam yangilash, kirish nazoratini kuchaytirish va kod xavfsizligini tekshirish — kiberxavfsizlikni saqlashning yagona samarali yo‘lidir.

“Eng kuchli parol ham yangilanmagan tizimni himoya qila olmaydi.” — deya ta’kidlaydi Rainpwn tadqiqotchisi.