Net-SNMP’dagi jiddiy zaiflik tarmoq infratuzilmasi uchun katta xavf tug‘dirmoqda

Yaqinda Net-SNMP dasturiy majmuasida aniqlangan yangi kritik zaiflik butun dunyo bo‘ylab tarmoq infratuzilmalari uchun jiddiy xavf tug‘dirayotgani ma’lum bo‘ldi. Ushbu kamchilik CVE-2025-68615 identifikatori bilan ro‘yxatga olingan bo‘lib, masofaviy hujumchilarga maxsus tayyorlangan paketlar orqali tizimda buffer overflow holatini yuzaga keltirish imkonini beradi.

Natijada Net-SNMP’ning muhim komponentlaridan biri — snmptrapd demoni ishdan chiqishi (DoS) yoki undan ham xavflisi, butun tizim ustidan nazorat yo‘qotilishi ehtimoli mavjud.

Zaiflikning kelib chiqish sababi

Net-SNMP — bu marshrutizatorlar, kommutatorlar, serverlar va boshqa tarmoq qurilmalarini kuzatish va boshqarish uchun keng qo‘llaniladigan SNMP protokoli to‘plami hisoblanadi. Aynan shu keng tarqalganligi sababli aniqlangan zaiflikning ta’sir doirasi ham nihoyatda katta.

Muammo snmptrapd xizmatining kiruvchi SNMP trap paketlarini noto‘g‘ri qayta ishlashi bilan bog‘liq. GitHub’dagi rasmiy xavfsizlik ogohlantirishlariga ko‘ra, hujumchi maxsus shakllantirilgan zararli paket yuborish orqali xizmat xotirasida toshib ketish (buffer overflow) holatini yuzaga keltirishi mumkin.

Xavf darajasi va ehtimoliy oqibatlar

Mazkur zaiflik uchun CVSS bahosi 9.8 (Critical) etib belgilangan. Bu esa:

• Maxfiylik (Confidentiality) — yuqori darajada tahdid ostida;
• Yaxlitlik (Integrity) — buzilishi mumkin;
• Mavjudlik (Availability) — xizmatlar ishdan chiqishi ehtimoli bor,

degan ma’noni anglatadi.

Amaliyotda bunday yuqori baholangan buffer overflow zaifliklari ko‘pincha oddiy xizmatni ishdan chiqarish bilan cheklanmaydi. Mutaxassislar fikricha, bu holat masofadan turib ixtiyoriy kod bajarilishi (RCE) imkoniyatini ham berishi mumkin. Bunday ssenariyda hujumchi hech qanday autentifikatsiyasiz, foydalanuvchi ishtirokisiz server ustidan to‘liq nazoratni qo‘lga kiritishi ehtimoldan xoli emas.

Zaiflikni aniqlash va tuzatish

Ushbu zaiflik Trend Micro Zero Day Initiative (ZDI) bilan hamkorlikda olib borilgan tadqiqotlar davomida aniqlangan. Net-SNMP ishlab chiquvchilari muammoni tezkorlik bilan bartaraf etib, yangilangan versiyalarni e’lon qilishdi.

Administratorlarga quyidagi versiyalarga zudlik bilan yangilanish qat’iy tavsiya etiladi:

• Net-SNMP 5.9.5
• Net-SNMP 5.10 pre2

Agar yangilash imkoni bo‘lmasa…

Ba’zi tashkilotlarda texnik yoki tashkiliy sabablarga ko‘ra darhol yangilash imkoni bo‘lmasligi mumkin. Bunday holatda mutaxassislar vaqtinchalik himoya chorasi sifatida quyidagilarni tavsiya etmoqda:

• Tarmoq segmentatsiyasini qat’iylashtirish;
• SNMP va snmptrapd portlarini internetdan to‘liq yopish;
• Firewall orqali faqat ichki va ishonchli manbalargagina ruxsat berish.

Mutaxassislar ta’kidlashicha, SNMP xizmatlari hech qachon ochiq internetda bo‘lmasligi kerak. Bu oddiy qoida ko‘plab jiddiy kiberhujumlarning oldini olishga xizmat qiladi.

CVE-2025-68615 zaifligi yana bir bor shuni ko‘rsatadiki, tarmoq monitoringi kabi yordamchi deb qaraladigan xizmatlar ham hujumchilar uchun jozibador nishonga aylanishi mumkin. Net-SNMP’ning keng tarqalganligi ushbu kamchilikni yanada xavfli qiladi.

Tashkilotlar va tizim administratorlari yangilanishlarni kechiktirmasligi, SNMP xizmatlarini qat’iy nazorat ostiga olishi va tarmoq xavfsizligini muntazam auditdan o‘tkazib borishi zarur. Aks holda, oddiy bir monitoring demoni butun infratuzilma xavfsizligini izdan chiqaruvchi zaif nuqtaga aylanishi mumkin.