WSUS tizimlariga ommaviy hujumlar: 2800 ta server ochiq holatda, xavf darajasi yuqori!

Kiberjinoyatchilar Microsoft’ning Windows Server Update Services (WSUS) tizimidagi jiddiy zaiflikdan faol foydalanmoqda. Mazkur zaiflik, CVE-2025-59287 raqami bilan qayd etilgan bo‘lib, masofadan turib kod bajarish (RCE) imkonini beradi va buning natijasida hujumchilar korporativ tarmoqlarga to‘liq kirish huquqini qo‘lga kiritishi mumkin.

Zaiflikning mohiyati

Mutaxassislarning aniqlashicha, WSUS’ning yangilanishlarni tasdiqlash jarayonida deserializatsiya xatosi mavjud. Bu xato orqali hujumchi maxsus tuzilgan so‘rov yuborib, tizimni aldashi va o‘z zararli kodini bajarishga majbur qilishi mumkin. Microsoft ushbu zaiflikni kritik deb baholab, unga 9.8 CVSS balli xavf darajasini bergan.

Mazkur muammo 2025-yil oktabr oyida e’lon qilingan bo‘lsa-da, oradan bir necha kun o‘tib, yer osti forumlarida Proof-of-Concept (POC) ekspluat kodi paydo bo‘ldi. Shundan so‘ng butun dunyo bo‘ylab WSUS serverlariga qarshi hujumlar keskin ortdi.

Hujumlarning ko‘lami

Kiberxavfsizlik kompaniyasi ShadowPeak ma’lumotlariga ko‘ra, 2025-yil 27-oktabr holatiga ko‘ra internetda 2 800 dan ortiq WSUS serveri ochiq turgani aniqlangan. Ularning aksariyati 8530 va 8531-portlar orqali tarmoqdan bevosita kirish imkonini beradi. Bu holat, ayniqsa, Yevropa va Shimoliy Amerikadagi korxonalarda kuzatilmoqda.

Ayrim hujumlarda, masalan AQShdagi o‘rta miqyosdagi moliyaviy tashkilotda, kiberjinoyatchilar zaiflikdan foydalanib Active Directory tizimiga kirib, 2025-yil 23-oktabrda qisqa muddatli uzilish yuzaga kelgan.

Qanday xavf tug‘diradi?

WSUS — bu Windows tizimlariga yangilanishlarni avtomatik yetkazib beruvchi markaziy xizmat. Agar ushbu server buzilsa:

  • Hujumchi zararli yangilanish yuborishi mumkin;
  • Ichki tarmoqdagi barcha kompyuterlar zararli kodni avtomatik qabul qiladi;
  • Tizimga doimiy orqa eshik (backdoor) o‘rnatilib, butun infratuzilma nazoratdan chiqadi.

Ba’zi manbalarga ko‘ra, bu zaiflikdan LockBit 3.0 kabi ransomware guruhlari ham foydalanmoqda. Ular ushbu POC’ni o‘z “leak site”larida tilga olishgan.

Microsoft va ekspertlar tavsiyasi

Microsoft tomonidan 2025-yil oktabr oyidagi xavfsizlik byulletenida muhim tavsiyalar berilgan:

  1. WSUS’ni yangilang — versiyani 10.0.20348.2000 yoki undan yuqoriga yangilash shart.
  2. Tarmoqni cheklang — 8530 va 8531-portlarga kirishni faqat ichki VPN yoki xavfsiz segment orqali ruxsat eting.
  3. Firewall va WAF sozlamalarini kuchaytiring.
  4. WSUS loglarini tahlil qiling — Event ID 10016 va 20005’da g‘ayrioddiy yangilanish yoki so‘rovlarni tekshiring.
  5. Deserializatsiya xatti-harakatlarini aniqlaydigan EDR vositalarini faollashtiring.

Kiberxavfsizlik tahlilchisi Elena Vaskez bu haqda shunday deydi:

“Bu faqat bitta yamoq masalasi emas. WSUS serverlari ko‘p hollarda unutib qo‘yilgan infratuzilma qismi hisoblanadi. Ularni muntazam auditdan o‘tkazish shart.”

Bugungi kunda WSUS kabi ichki xizmatlarning tarmoqdan ochiq bo‘lishi — bu “tizim ichidagi bomba” bilan barobar. 2800 dan ortiq ochiq WSUS serverlari — bu hujumchilarga eshik ochib qo‘yishdir.

Kiberxavfsizlik mutaxassislari bir ovozdan ogohlantirmoqda:

  • Har qanday yangilanish serveri — bu strategik nishon.
  • Tizimni tezkor yangilash, portlarni yopish va faol monitoring — bu xavfsizlikning eng oddiy, ammo eng samarali choralaridir.