OpenVPN’da yangi xavf: Linux va macOS tizimlarida skript inyeksiyasi orqali hujumlar aniqlanmoqda

Kiberxavfsizlik mutaxassislari OpenVPN’ning dastlabki 2.7 versiyalarida jiddiy zaiflik aniqlanganini ma’lum qildi. Ushbu zaiflik tufayli zararli serverlar foydalanuvchining kompyuterida ixtiyoriy buyruqlarni masofadan turib bajarish imkoniga ega bo‘lishi mumkin. Zaiflik CVE-2025-10680 raqami bilan ro‘yxatga olingan bo‘lib, CVSS 8.1 darajasida “yuqori xavfli” deb baholangan.

Mazkur muammo OpenVPN’ning 2.7_alpha1 dan 2.7_beta1 gacha bo‘lgan versiyalarida kuzatilgan. Xato tizimning –dns va –dhcp-option parametrlarini to‘g‘ri filtrlab o‘tmasligi sababli yuzaga keladi. Natijada, foydalanuvchi ishonchsiz VPN serveriga ulanayotgan paytda bu parametrlar “dns-updown” skript orqali to‘g‘ridan-to‘g‘ri tizimga uzatiladi va bu orqali skript inyeksiyasi (script injection) hujumini amalga oshirish mumkin bo‘ladi.

Mutaxassislarning ta’kidlashicha, ayniqsa Linux, macOS va BSD tizimlarida bu zaiflikning xavfi yuqori, chunki ushbu tizimlarda skriptlar odatda yuqori huquqlar bilan bajariladi. Natijada, hujumchi qurilmada zararli buyruqlarni ishga tushirib, ma’lumotlarni o‘g‘irlashi, virus yoki orqa eshik (backdoor) o‘rnatishi, hattoki tizimni to‘liq nazoratga olishi mumkin.

Zaiflik sababi va ta’siri

OpenVPN serverning yuborgan DNS sozlamalariga ishonishga asoslangan. Biroq server zararli yoki ishonchsiz bo‘lsa, DNS maydonlarida yashirilgan shell-belgilar (;, `, && va boshq.) mijoz tomonidagi dns-updown skriptiga to‘g‘ridan-to‘g‘ri uzatilishi va tizim buyruqlari sifatida bajarilishi mumkin. Bu ayniqsa Linux, macOS va boshqa POSIX tizimlarida jiddiy xavf tug‘diradi; Windows foydalanuvchilari esa PowerShell integratsiyasi orqali ba’zi holatlarda zaiflanishi mumkin. Natijada ma’lumot o‘g‘irlash, zararli dastur o‘rnatish yoki to‘liq tizim nazoratini qo‘lga kiritish kabi oqibatlar yuzaga kelishi ehtimoli mavjud.

Yangilanish: 2.7_beta2

OpenVPN jamoasi 2025-yil 27-oktabrda 2.7_beta2 versiyasini chiqardi. Unda DNS parametrlarini qat’iy tozalash mexanizmi joriy etilib, skript-inyeksiyaga qarshi himoya mustahkamlandi. Shuningdek, Windows uchun yangi openvpnservmsg.dll orqali voqea-jurnal yaxshilandi, Linux’da IPv4 broadcast sozlamalari tiklandi va TAP rejimidagi DHCP muammolari tuzatildi. Mutaxassislar bu beta-versiyani faqat sinov muhitida ishlatishni, ishlab chiqarishda esa hozircha barqaror 2.6.x seriyasida qolishni maslahat berishadi.

Tavsiya va ogohlantirishlar

• OpenVPN’ni faqat rasmiy manbalardan yuklab oling.
• Ulanayotgan VPN serverining ishonchliligini tekshiring.
• Beta-versiyalarni faqat izolyatsiyalangan test muhiti uchun ishlating.
• Muntazam yangilanish va xavfsizlik auditlarini amalga oshiring.

Mutaxassis Elena Vaskez fikricha:

“VPN’dagi zaifliklar nafaqat aloqaning maxfiyligini, balki butun tarmoqning yaxlitligini xavf ostiga qo‘yadi — yangilanishlarni e’tiborsiz qoldirmang.”

OpenVPN’dagi ushbu zaiflik VPN xavfsizligi — shunchaki shifrlash emas, balki ishonchli konfiguratsiya va doimiy nazorat ekanligini eslatadi. Qurilmalarni o‘z vaqtida yangilamagan foydalanuvchilar hatto ishonchli deb topilgan VPN orqali ham hujumga uchrashi mumkin.