Oracle WebLogic Server’dagi xavfli zaiflik yana kun tartibida: CISA faol ekspluatatsiya qilinayotgan CVE-2024-21182 haqida ogohlantirdi

Axborot tizimlari xavfsizligi sohasida foydalanilayotgan korporativ dasturiy platformalar ko‘pincha kiberjinoyatchilar uchun asosiy nishonga aylanadi. Ayniqsa, davlat tashkilotlari, moliyaviy muassasalar va yirik korxonalar infratuzilmasida keng qo‘llaniladigan middleware texnologiyalaridagi zaifliklar butun tarmoq xavfsizligiga jiddiy tahdid tug‘dirishi mumkin.

AQShning Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) tomonidan yaqinda e’lon qilingan ogohlantirish ham aynan shunday xavflardan biriga qaratilgan. Agentlik Oracle WebLogic Server dasturiy platformasidagi CVE-2024-21182 identifikatoriga ega bo‘lgan zaiflik amaliy hujumlarda faol ekspluatatsiya qilinayotganini tasdiqlab, uni Known Exploited Vulnerabilities (KEV) katalogiga kiritdi.

Mazkur holat ushbu zaiflik nazariy xavf emas, balki real kiberhujumlarda qo‘llanilayotganini anglatadi.

Oracle WebLogic Server nima?

Oracle WebLogic Server — korporativ darajadagi Java ilovalarini ishga tushirish va boshqarish uchun mo‘ljallangan platforma hisoblanadi. U bank tizimlari, elektron hukumat xizmatlari, telekommunikatsiya operatorlari, sug‘urta kompaniyalari va yirik biznes infratuzilmalarida keng qo‘llaniladi.

Mazkur platforma:

  • Java EE va Jakarta EE ilovalarini boshqarish;
  • korporativ biznes jarayonlarini avtomatlashtirish;
  • mikroxizmatlar va veb-ilovalarni joylashtirish;
  • bulut va lokal infratuzilmalarni integratsiyalash

uchun foydalaniladi.

Aynan shu sababli WebLogic serverlaridagi har qanday zaiflik minglab tashkilotlar xavfsizligiga ta’sir ko‘rsatishi mumkin.

CVE-2024-21182 zaifligi nimasi bilan xavfli?

Oracle tomonidan zaiflikning texnik tafsilotlari to‘liq oshkor qilinmagan bo‘lsa-da, mavjud ma’lumotlarga ko‘ra, ushbu kamchilik masofadan turib autentifikatsiyasiz ekspluatatsiya qilinishi mumkin.

Bu esa hujumchiga:

  • tizimga ruxsatsiz kirish;
  • maxfiy ma’lumotlarni qo‘lga kiritish;
  • ilova serverlarini boshqarish;
  • ichki tarmoqqa kirib borish;
  • keyingi bosqichdagi zararli faoliyatlarni amalga oshirish

imkoniyatini yaratadi.

Eng xavotirli jihatlardan biri shundaki, ekspluatatsiya qilish uchun foydalanuvchi hisobiga ega bo‘lish talab etilmaydi. Tizim internet orqali ochiq bo‘lsa yoki noto‘g‘ri sozlangan bo‘lsa, hujumchi zaiflikdan masofadan turib foydalanishi mumkin.

Hujum qanday amalga oshiriladi?

Mutaxassislarning ta’kidlashicha, hujumlar asosan WebLogic Server tomonidan qo‘llaniladigan T3 va IIOP protokollari orqali amalga oshirilmoqda.

T3 protokoli

T3 — Oracle WebLogic’ning ichki kommunikatsiya protokoli bo‘lib, server komponentlari o‘rtasida ma’lumot almashish uchun ishlatiladi.

Agar mazkur portlar internetga ochiq bo‘lsa:

  • server identifikatsiyasi amalga oshirilishi;
  • xizmat versiyasi aniqlanishi;
  • ekspluatatsiya uchun mos konfiguratsiya topilishi mumkin.

IIOP protokoli

IIOP (Internet Inter-ORB Protocol) esa taqsimlangan korporativ ilovalar o‘rtasidagi aloqani ta’minlaydi.

Mazkur xizmatlar noto‘g‘ri sozlanganda yoki tashqi tarmoqlarga ochiq qoldirilganda, ular hujumchilarga qo‘shimcha kirish nuqtalarini yaratib beradi.

Nima uchun WebLogic serverlari doimiy nishonga aylanmoqda?

So‘nggi yillarda Oracle WebLogic Server turli ransomware guruhlari va APT tahdid aktorlari tomonidan muntazam ravishda nishonga olinmoqda.

Bunga bir nechta sabablar mavjud:

  • tashkilotlar tomonidan keng foydalanilishi;
  • internetga ochiq serverlar sonining ko‘pligi;
  • xavfsizlik yangilanishlarini kechiktirib o‘rnatish;
  • eski versiyalarning hanuzgacha ekspluatatsiyada qolayotgani.

Tarixga nazar tashlansa, WebLogic platformasidagi bir qator zaifliklar orqali:

  • masofaviy kod bajarish (RCE);
  • web shell o‘rnatish;
  • ma’lumotlar bazalariga kirish;
  • ransomware tarqatish

holatlari qayd etilgan.

Shu sababli CVE-2024-21182 ham yaqin kelajakda keng ko‘lamli kiberjinoyat kampaniyalarida faol qo‘llanilishi ehtimoli yuqori deb baholanmoqda.

Muvaffaqiyatli ekspluatatsiya qanday oqibatlarga olib kelishi mumkin?

Zaiflikdan muvaffaqiyatli foydalanilgan taqdirda hujumchilar:

  • maxfiy ma’lumotlarni o‘g‘irlashi;
  • foydalanuvchi ma’lumotlar bazalariga kirishi;
  • ichki tarmoq bo‘ylab harakatlanishi;
  • boshqa serverlarni komprometatsiya qilishi;
  • zararli dasturlarni joylashtirishi;
  • masofadan boshqaruv vositalarini o‘rnatishi

mumkin.

Ayrim hollarda esa butun korporativ infratuzilma nazoratdan chiqib ketishi ehtimoli mavjud.

CISA tavsiyalari

Zaiflikning faol ekspluatatsiya qilinayotgani sababli CISA federal tashkilotlarga uni 2026-yil 4-iyungacha bartaraf etish bo‘yicha ko‘rsatma berdi.

Mutaxassislar quyidagi choralarni tavsiya qilmoqda:

Xavfsizlik yangilanishlarini zudlik bilan o‘rnatish

Oracle tomonidan taqdim etilgan rasmiy xavfsizlik yamalarini imkon qadar tezroq joriy etish zarur.

T3 va IIOP xizmatlarini cheklash

Mazkur xizmatlar tashqi tarmoqlardan foydalanishni talab qilmasa, ularga internet orqali kirishni butunlay yopish tavsiya etiladi.

Tarmoq segmentatsiyasini kuchaytirish

WebLogic serverlari alohida xavfsizlik segmentlarida joylashtirilishi va ularga faqat zarur tizimlargina ulanishi kerak.

Monitoring va jurnal tahlilini kuchaytirish

Quyidagi holatlar alohida nazorat qilinishi lozim:

  • g‘ayrioddiy tarmoq faolligi;
  • noma’lum IP manzillardan ulanishlar;
  • autentifikatsiyasiz so‘rovlar;
  • kutilmagan xizmat ishga tushishlari;
  • konfiguratsiya o‘zgarishlari.

Internetga ochiq xizmatlarni inventarizatsiya qilish

Ko‘plab tashkilotlar o‘z infratuzilmasida qaysi serverlar internetga ochiq ekanini to‘liq bilmaydi. Shuning uchun muntazam aktivlar inventarizatsiyasi va tashqi yuzani (Attack Surface) tahlil qilish muhim ahamiyat kasb etadi.

CVE-2024-21182 zaifligining CISA tomonidan faol ekspluatatsiya qilinayotgan zaifliklar ro‘yxatiga kiritilishi korporativ infratuzilmalar uchun jiddiy ogohlantirish hisoblanadi. Oracle WebLogic Server kabi muhim middleware platformalaridagi xavfsizlik kamchiliklari nafaqat alohida serverlarga, balki butun tashkilot faoliyatiga ta’sir ko‘rsatishi mumkin.

Bugungi kunda kiberjinoyatchilar internetga ochiq xizmatlarni avtomatlashtirilgan vositalar yordamida muntazam skanerlab, yamalanmagan tizimlarni qidirmoqda. Shu bois xavfsizlik yangilanishlarini o‘z vaqtida o‘rnatish, xizmatlarni minimal darajada ochiq saqlash va tarmoq segmentatsiyasini to‘g‘ri tashkil etish zamonaviy kiberxavfsizlikning eng muhim talablaridan biri bo‘lib qolmoqda.

Har qanday tashkilot uchun eng samarali himoya — zaifliklar aniqlangach emas, balki ular ekspluatatsiya qilinishidan oldin choralar ko‘rishdir.