Ubiquiti UniFi Access dasturidagi xavfli zaiflik: kirish nazorati tizimi tahdid ostida

2025-yil oktyabr oyida Catchify Security mutaxassislari tomonidan Ubiquiti UniFi Access dasturida jiddiy xavfsizlik zaifligi aniqlangani haqida xabar berildi. Bu zaiflik CVE-2025-52665 raqami bilan ro‘yxatga olingan bo‘lib, tizimdagi API boshqaruv interfeysi autentifikatsiyasiz (ya’ni parolsiz) ochiq qolganini ko‘rsatadi. Natijada, tarmoq ichida joylashgan tajovuzkorlar eshik kirish nazorati tizimlarini to‘liq boshqarish, qulfni ochish yoki konfiguratsiyani o‘zgartirish imkoniga ega bo‘lishadi.

Zaiflikning mohiyati

Ushbu muammo 3.3.22–3.4.31 versiyalar oralig‘idagi UniFi Access Application dasturida kuzatilgan. Asosiy sabab — API endpoint’larida autentifikatsiya himoyasi yo‘qligi. Bu esa tarmoq ichidagi istalgan foydalanuvchiga ruxsatsiz so‘rovlar yuborish va tizim parametrlarini o‘zgartirish imkonini beradi. Shu tarzda, hujumchi faqatgina tarmoqga kirish huquqiga ega bo‘lishi bilan eshiklarni masofadan turib ochishi, kirish ro‘yxatlarini o‘chirib yuborishi yoki butun kirish nazorati tizimini ishdan chiqarishi mumkin.

Catchify Security tahlilchilarining ta’kidlashicha, bu zaiflik faqat bitta binoning xavfsizligini emas, balki butun korxona yoki tashkilotning jismoniy himoya tizimini xavf ostiga qo‘yadi. Chunki raqamli xavfsizlik va fizik xavfsizlik bir-biri bilan uzviy bog‘liq: tarmoqqa kirgan kiberjinoyatchi nafaqat ma’lumotlarga, balki real eshik va xonalar ustidan ham nazorat o‘rnatishi mumkin.

Xavf darajasi va ta’siri

Mutaxassislar zaiflikni CVSS 3.1 bo‘yicha 10.0 ball bilan baholagan — bu eng yuqori darajadagi, “kritik” xavf hisoblanadi. Zaiflik autentifikatsiyasiz (UI:N, PR:N) ekspluatatsiya qilinadi, ya’ni foydalanuvchidan hech qanday harakat talab etilmaydi. Faqat tarmoqqa ulanishning o‘zi yetarli.

Bunday hujumlar ayniqsa korporativ ofislar, smart-binolar, va IoT asosidagi kirish nazorati tizimlari uchun katta tahdid tug‘diradi. Tajovuzkorlar tizimga kirish orqali:

  • eshiklarni masofadan boshqarishi,
  • ruxsatlar bazasini o‘zgartirishi,
  • foydalanuvchi ma’lumotlarini o‘g‘irlashi,
  • yoki integratsiyalashgan boshqa tizimlar (masalan, videokuzatuv, signalizatsiya) orqali ma’lumot sizdirishi mumkin.

Yangilanish va tavsiyalar

Ubiquiti kompaniyasi zaiflikni tan oldi va muammoni 4.0.21 versiyasida bartaraf etganini ma’lum qildi. Kompaniya barcha foydalanuvchilarga tezkor yangilanish o‘rnatishni qat’iy tavsiya etmoqda. Shuningdek:

  • Tarmoqda API portlari faqat ichki foydalanuvchilar uchun ochiq bo‘lishi lozim.
  • Tizim loglari (xususan API chaqiruvlari) muntazam nazorat qilinishi kerak.
  • Administratorlar unifi-access serverlarini VPN orqali himoyalangan tarmoqlarga joylashtirishlari maqsadga muvofiq.

Mutaxassislar, ayniqsa, IoT qurilmalari va kirish nazorati tizimlarida autentifikatsiyani kuchaytirish zarurligini ta’kidlashmoqda. Chunki bunday tizimlar ko‘pincha ichki tarmoq xavfsizligiga haddan tashqari tayanadi, ammo bu yondashuv real hayotda ko‘p hollarda xatarlidir.

Ubiquiti UniFi Access dasturidagi ushbu zaiflik IoT va kirish nazorati sohasida muhim saboq bo‘ldi:

“Har bir tizim, hatto jismoniy xavfsizlikni ta’minlaydigan qurilma ham, kiberxavfsizlik standartlarisiz himoyasizdir.”

Kompaniyalar tizimlarini doimiy ravishda yangilab, autentifikatsiyani kuchaytirib va tarmoqni qat’iy segmentatsiya orqali himoya qilishlari zarur. Chunki bugungi kunda bitta tarmoqdagi bitta ochiq API — butun binoning xavfsizligini izdan chiqarishi mumkin.