WordPress plaginidagi zaiflik orqali O‘zbekistonning nufuzli davlat oliy ta’lim muassasasiga tegishli rasmiy veb-saytga ruxsatsiz masofaviy kirish holati aniqlandi!

Bugungi kunda ta’lim muassasalari, davlat tashkilotlari va yirik korxonalarning axborot tizimlari kiberjinoyatchilar uchun eng jozibador nishonlardan biriga aylangan. Zamonaviy tahdidlar endilikda nafaqat tizimdagi zaifliklardan, balki dasturiy ta’minot yetkazib berish zanjiri (Supply Chain) orqali ham amalga oshirilmoqda. Bunday hujumlarning xavfliligi shundaki, kiberjinoyatchilar odatda ishonchli va xavfsiz deb hisoblangan dasturiy mahsulotlardan foydalanib, foydalanuvchilar sezmagan holda axborot tizimlariga kirib borish imkoniyatiga ega bo‘ladi.

2026-yil aprel oyida Smart Slider 3 Pro plaginida aniqlangan CVE-2026-34424 zaifligi orqali supply-chain hujumlari amalga oshirilishi mumkinligi haqidagi xabarlar butun dunyo bo‘ylab keng muhokamalarga sabab bo‘ldi. Ushbu zaiflik oqibatida ko‘plab WordPress saytlarida xavfsizlik buzilishi holatlari qayd etildi. O‘tkazilgan o’rganishlar natijasida esa respublikamizdagi nufuzli davlat oliy ta’lim muassasalaridan biriga tegishli rasmiy domenda ham mazkur hujumning alomatlari aniqlanib, hujum zanjirining bir nechta bosqichlari tasdiqlandi.

O‘rganishlarga ko‘ra, hujum Smart Slider 3 Pro plagini ishlab chiquvchisi infratuzilmasining kompromentatsiya qilinishi natijasida yuzaga kelgan. Hujumchilar plaginning 3.5.1.35 versiyasiga zararli kod joylashtirib, uni rasmiy yangilanish kanallari orqali tarqatishga muvaffaq bo‘lganlar. Natijada ushbu zararli versiyani o‘rnatgan saytlar hujumchilarga serverga yashirin tarzda kirish va uni masofadan turib boshqarish imkoniyatini beruvchi zararli kod bilan zararlangan.

Mazkur hodisa supply-chain hujumining yaqqol namunasi hisoblanadi. Bunda hujumchilar bevosita tashkilotga emas, balki u foydalanadigan dasturiy mahsulotni nishonga oladi. Natijada zararli kod ishonchli dastur orqali tizimga kirib boradi va foydalanuvchilar buni darhol sezmasligi mumkin.

Tahlillar hujumning Lockheed Martin Cyber Kill Chain va MITRE ATT&CK metodologiyalari asosida bosqichma-bosqich rivojlanganini ko‘rsatdi.

Dastlab zararli plagin o‘rnatilgan bo‘lib, u tizimga bir nechta yashirin komponentlarni joylashtirgan. Ular orasida mu-plugins katalogidagi fayllar, WordPress yadrosi ko‘rinishida yashirilgan komponentlar, ma’lumotlar bazasidagi maxsus yozuvlar hamda yashirin administrator hisoblari mavjud bo‘lishi mumkinligi qayd etilgan.

Keyingi bosqichda bekdor hujumchilarning boshqaruv serveri bilan aloqa o‘rnatib, zararlangan saytni tizimda ro‘yxatdan o‘tkazgan hamda unga noyob identifikator biriktirgan. Ushbu identifikator hujumchilarga keyinchalik saytni masofadan boshqarish, kuzatib borish va unga oid ma’lumotlarni ajratib olish imkonini bergan.

Tahlil natijalariga ko‘ra, hujumchilar serverga yuborilgan HTTP so‘rovlarining sarlavhalari (header) orqali serverda turli buyruqlarni masofadan turib bajarish imkoniyatiga ega bo‘lgan. Bu esa server ustidan nazorat o‘rnatish uchun foydalanilgan asosiy mexanizmlardan biri hisoblanadi.

Aniqlanishicha, serverga yuborilgan maxsus HTTP headerlar orqali operatsion tizim buyruqlarini ishga tushirish mumkin bo‘lgan. Mazkur zaiflik hujumchilarga serverda o‘z buyruqlarini bajarish imkonini yaratgan.

Bekdor tizimi X-Cache-Key va X-Cache-Status sarlavhalari orqali ishlagan. Ushbu mexanizm yordamida hujumchilar serverda turli buyruqlarni bajarish, tizim holatini tekshirish va yangi zararli komponentlarni joylashtirish imkoniyatiga ega bo‘lgan.

Jurnal yozuvlari (log-fayl) tahliliga ko‘ra, 2026-yil 14-apreldan boshlab hujumchilar bekdorning faol ishlayotganligini tekshirish maqsadida bir qator sinov buyruqlarini yuborgan.

Shundan so‘ng ular serverning operatsion tizimi, foydalanuvchi huquqlari va konfiguratsiyasi haqida ma’lumot to‘plashga qaratilgan buyruqlarni ishga tushirgan. Bu harakatlar tizim imkoniyatlarini o‘rganish va keyingi hujum bosqichlarini rejalashtirish uchun amalga oshirilgan.

Tahlil davomida eng jiddiy hodisalardan biri 2026-yil 17-aprel kuni qayd etilgan bo‘lib, hujumchi serverda yangi PHP fayl yaratishga muvaffaq bo‘lgan.

Mazkur fayl webshell sifatida xizmat qilishi va hujumchilarga serverni masofadan turib boshqarish imkonini berishi mumkin.

Bundan tashqari, 2026-yil 8-iyun kuni serverda shell injection usuli orqali yuborilgan buyruqlar muvaffaqiyatli bajarilgani aniqlangan.

Ushbu holat zaiflik uzoq vaqt davomida bartaraf etilmaganini hamda hujumchilar tizimga kirish imkoniyatini saqlab qolgan bo‘lishi mumkinligini ko‘rsatadi.

Mazkur ma’lumotlar hujum kamida ikki oy davomida faol bo‘lganini va ushbu davr mobaynida server ustidan nazorat o‘rnatilgan bo‘lishi ehtimolini ko‘rsatadi.

Hujumchilarning maqsadi faqat tizimga kirish bilan cheklanmagan. Tahlillar natijasida sayt HTML kodiga katta hajmdagi yashirin SEO-spam kontenti joylashtirilgani aniqlangan. Mazkur spam bloklari qimor va noqonuniy bukmekerlik xizmatlariga oid yuzlab havolalarni o‘z ichiga olgan.

Havolalar oddiy foydalanuvchilar ko‘rmaydigan tarzda yashirilgan bo‘lsa-da, qidiruv tizimlari robotlari tomonidan indekslangan. Natijada universitet domeni orqali uchinchi tomon tijoriy resurslarining qidiruv tizimlaridagi reytingini sun’iy oshirishga urinish amalga oshirilgan.

Bunday holat tashkilotning raqamli obro‘siga jiddiy zarar yetkazishi, qidiruv tizimlarida domen ishonchliligini pasaytirishi hamda kelgusida saytning qora ro‘yxatlarga tushib qolishiga sabab bo‘lishi mumkin

Hujumning eng xavfli jihatlaridan biri hujumchilar tomonidan doimiy kirish mexanizmlarining (Persistence) o‘rnatilgan bo‘lishidir. Tahlil natijalariga ko‘ra, plagin yangilangandan keyin ham zararli komponentlar faoliyatini davom ettirgan. 2026-yil 8-iyungacha bekdorlar serverga yuborilgan buyruqlarga javob qaytargan.

Bu esa muammo faqat plaginni yangilash bilan hal bo‘lmasligini ko‘rsatadi. Agar zararli fayllar, ma’lumotlar bazasidagi yozuvlar yoki yashirin administrator hisoblari saqlanib qolgan bo‘lsa, hujumchilar istalgan vaqtda tizimga qayta kirish imkoniyatiga ega bo‘lishlari mumkin.

Mazkur insident bilan bog‘liq faoliyatni aniqlash hamda boshqa axborot tizimlarida ham shunga o‘xshash hujum izlari mavjudligini tekshirish maqsadida kompromentatsiya indikatorlari (Indicators of Compromise – IoC) shakllantirildi.

Tahlil natijalariga ko‘ra, hujum faoliyati bilan bog‘liq bo‘lgan 16 dan ortiq IP manzil aniqlangan. Mazkur IP manzillar orqali serverga zararli so‘rovlar yuborilgani hamda hujumchilarning boshqaruv infratuzilmasi bilan bog‘liq faoliyat kuzatilgani qayd etilgan. Aniqlangan manzillar orasida 124.248.183.139 IP manzili eng yuqori faollikni namoyon etgan bo‘lib, hujumning asosiy qismi aynan ushbu manzil orqali amalga oshirilgan.

Tizim xavfsizligini ta’minlash va kelgusida shunga o‘xshash urinishlarning oldini olish maqsadida quyidagi IP manzillarni tarmoq xavfsizlik vositalari (firewall, WAF va boshqa himoya tizimlari) darajasida bloklash tavsiya etiladi:

124.248.183.139
119.235.222.178
129.212.238.57
143.198.223.154
104.194.9.138
118.99.99.133
157.15.40.74
182.253.173.47
93.185.162.116
128.241.254.151
13.60.54.137
5.62.16.5
38.147.173.172
173.239.196.2
13.158.77.167
160.202.35.158

Bundan tashqari, mazkur IP manzillarga oid tarixiy jurnal yozuvlarini (loglarni) qo‘shimcha tahlil qilish hamda ushbu manzillardan amalga oshirilgan boshqa ulanishlar va faoliyatlarni tekshirish tavsiya etiladi.

Server fayl tizimida quyidagi obyektlar mavjudligi ehtimoliy kompromentatsiya belgisi hisoblanadi:

wp-content/uploads/wp-log.php
wp-content/uploads/post_files/3ckruhyoraza4thj1pzxwrapw0w.php
uploads katalogidagi har qanday PHP fayl
wp-content/mu-plugins/object-cache-helper.php
wp-includes/class-wp-locale-helper.php
wp-includes/.cache_key
functions.php faylidagi _wpc_ak qatorlari.

Ayniqsa, uploads katalogida PHP fayllarining mavjudligi alohida xavf belgisi sifatida ko‘rilishi lozim.

O‘tkazilgan texnik tahlillar shuni ko‘rsatdiki, axborot tizimlari xavfsizligini ta’minlash faqat bir martalik ekspertiza o‘tkazish yoki dasturiy komponentlarni avtomatik yangilash bilan cheklanib qolmasligi kerak. Dasturiy ta’minot, plagin va kutubxonalarning muntazam yangilanib borilishi muhim ahamiyatga ega bo‘lsa-da, bu holat tizimning to‘liq himoyalanganligini kafolatlamaydi. Shu sababli axborot resurslarida muntazam xavfsizlik monitoringi, audit va qo‘shimcha tekshiruvlarni amalga oshirib borish zarur.

Shuningdek, tizimlarda yuzaga kelishi mumkin bo‘lgan tahdidlarni erta aniqlash maqsadida jurnal yozuvlarini (loglarni) muntazam tahlil qilish, kompromentatsiya indikatorlari (IoC) bo‘yicha monitoring olib borish hamda aniqlangan xavfsizlik hodisalariga tezkor choralar ko‘rish tavsiya etiladi.

Axborot tizimlarining xavfsizligini ta’minlash uzluksiz jarayon hisoblanadi. Shu bois muntazam monitoring, xavfsizlik auditlari, zaifliklarni o‘z vaqtida bartaraf etish va hodisalarga tezkor munosabat bildirish tashkilotlarning kiberxavfsizlik darajasini oshirishda muhim omil hisoblanadi.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

WordPress plaginidagi zaiflik orqali O‘zbekistonning nufuzli davlat oliy ta’lim muassasasiga tegishli rasmiy veb-saytga ruxsatsiz masofaviy kirish holati aniqlandi!

SimpleHelp serverlaringiz himoyalanganmi? 14 mingga yaqin internetga ochiq SimpleHelp serverlarida aniqlangan kritik zaiflik autentifikatsiya mexanizmini chetlab o‘tish imkonini bermoqda!

OSINT, veb-ilovalar va API xavfsizligini ta’minlashga yordam beradigan yagona platforma mavjudmi? SecSuite imkoniyatlari bilan tanishing!

Oracle PeopleSoft platformasida kritik zaiflik aniqlandi: tizimlar zudlik bilan yangilanishi tavsiya etiladi!