Cisco Catalyst Center’da xavfli zaiflik: Oddiy kuzatuvchi huquqiga ega foydalanuvchi ham tizimni to‘liq egallashi mumkin

Korporativ tarmoqlarni boshqarish va monitoring qilishda keng qo‘llaniladigan Cisco Catalyst Center Virtual Appliance tizimida jiddiy xavfsizlik zaifligi aniqlandi. CVE-2025-20341 raqami bilan ro‘yxatga olingan ushbu kamchilik hujumchilarga oddiy kuzatuvchi (Observer) huquqlaridan boshlab tizimning to‘liq administrator darajasigacha ko‘tarilish imkonini beradi. Zaiflikning CVSS 8.8 ball bilan baholanishi – uning xavf darajasi yuqori ekanidan dalolat beradi.

Zaiflikning mohiyati: noto‘g‘ri tekshirilgan ma’lumotlar — ochiq eshik

Cisco mutaxassislarining ta’kidlashicha, muammo foydalanuvchi tomonidan yuborilgan ma’lumotlarni noto‘g‘ri tekshirish bilan bog‘liq. Tizimga kelayotgan HTTP-so‘rovlar yetarlicha filtrlanmagani sababli, hujumchi maxsus tayyorlangan so‘rovlar orqali dasturiy ta’minotni chalg‘itib, o‘ziga yuqori darajadagi ruxsatlarni berishga majbur qilishi mumkin.

Bunday hujumning xavfi shundaki:

• hujumchi minimal kirish huquqiga ega bo‘lsa kifoya,
• jarayon masofadan turib, tarmoq orqali amalga oshiriladi,
• zaiflikni ekspluatatsiya qilish murakkab emas.

Oddiy kuzatuvchi (Observer) huquqlariga ega foydalanuvchi — odatda faqat tizim holatini ko‘rish huquqiga ega bo‘ladi. Biroq, ushbu zaiflik ularning administrator darajasidagi to‘liq nazoratni qo‘lga kiritishiga imkon beradi.

Administrator bo‘lib olgan hujumchi nima qila oladi?

Agar tajovuzkor administrator darajasiga ko‘tarilsa, u:

• yangi foydalanuvchi hisoblari yarata oladi,
• mavjud sozlamalarni o‘zgartiradi,
• tarmoq infratuzilmasining muhim qismlarini boshqaradi,
• tarmoq xavfsizligiga jiddiy zarba beruvchi amallarni bajarishi mumkin.

Bu esa butun tashkilotning joriy infratuzilmasini xavf ostida qoldiradi.

Cisco tomonidan tasdiqlangan holat

Cisco xavfsizlik bo‘limi mazkur zaiflikni kompaniyaning Technical Assistance Center bilan olib borilgan texnik ishlar jarayonida aniqlagan. Yaxshi tomoni shundaki, hozircha ushbu zaiflikdan real hujumlarda foydalanilganligi haqida ma’lumot yo‘q. Bu esa tashkilotlarga tizimlarini yangilash uchun qisqa muddatli imkoniyat yaratadi.

Qaysi versiyalar zaif va qanday yechim mavjud?

Zaiflik quyidagi talqinlarga ta’sir qiladi:

• Cisco Catalyst Center Virtual Appliance (VMware ESXi)
  ➤ 2.3.7.3-VA va undan keyingi versiyalar

Cisco ushbu muammoni bartaraf etish uchun 2.3.7.10-VA versiyasini chiqargan. Kompaniya:

• hech qanday muqobil yechim (workaround) yo‘qligini,
• yangilanish — yagona to‘liq himoya chorasidir,

deb qat’iy ta’kidlaydi.

E’tiborli jihat: fizik apparatlar (hardware appliances) va AWS asosidagi virtual bo‘limlar ushbu zaiflikdan ta’sirlanmagan.

Xavfni kamaytirish bo‘yicha tavsiyalar

✔ 1. Darhol 2.3.7.10-VA versiyasiga yangilang

Bu — asosiy va yagona to‘liq himoya usuli.

✔ 2. Tarmoq darajasida kirishni cheklang

Alohida imtiyozga ega bo‘lmagan foydalanuvchilarga boshqaruv interfeysiga kirishni minimallashtirish zarur.

✔ 3. Role-Based Access Control (RBAC) siyosatini qayta ko‘rib chiqing

Observer va boshqa past darajadagi rollarga berilgan huquqlarni qayta tekshirish tavsiya etiladi.

✔ 4. Audit va monitoringni kuchaytirish

So‘nggi kunlardagi kutilmagan o‘zgarishlarni, yangi foydalanuvchi yozuvlarini yoki sozlamalar o‘zgarishini tekshiring.

Cisco Catalyst Center Virtual Appliance’dagi CVE-2025-20341 zaifligi — tashkilotlarning tarmoq boshqaruv tizimlari uchun jiddiy xavf tug‘diradigan holatdir. Minimal kirish huquqiga ega foydalanuvchi orqali to‘liq administrator nazoratining qo‘lga olinishi — nafaqat tizimni, balki butun infratuzilmani xavf ostiga qo‘yadi.

Bugungi kunda tarmoq boshqaruvi — biznesning yuragi. Shuning uchun xavfsizlikni ta’minlash, yangilanishlarni o‘z vaqtida o‘rnatish va foydalanuvchi huquqlarini qat’iy nazorat qilish har bir tashkilot uchun muhim strategik vazifa bo‘lib qoladi.