Administratorlar uchun ogohlantirish: WSUS zaifligi faol ekspluatatsiya qilinmoqda, darhol yangilang

2025-yil oktyabr oyida aniqlangan va CVE-2025-59287 identifikatori bilan ro‘yxatga olingan zaiflik — Microsoft Windows Server Update Services (WSUS) ning jiddiy xavfi — kiberxavfsizlik maydonida katta vahima uyg‘otdi. Kunning yangilanishida Qo‘shimcha ravishda Kiberxavfsizlik va Infratuzilma Xavfsizlik Agentligi (CISA) tashkilotlarga ushbu zaiflikdan faol foydalanilayotgan tahdidlarni aniqlash va yumshatish bo‘yicha keng qamrovli ko‘rsatmalar chiqardi.

Zaiflikning mohiyati — nima sodir bo‘ladi?

CVE-2025-59287 WSUS ichidagi isnotrustable ma’lumotlarni deserializatsiya qilishdagi xatodan kelib chiqadi. Xatolik ClientWebService (masalan, GetCookie()) yoki Reporting.Web kabi nuqtalarda .NET BinaryFormatter bilan bog‘liq. Huquqiy tekshiruvlarni chetlab o‘tgan zararli SOAP so‘rovlari ichida AES-128-CBC bilan shifrlangan, base64-kodlangan foydali yuklamalar jo‘natiladi. Seriyadan chiqarilganda ular avtomatik ravishda bajarilib, serverda SYSTEM imtiyozida kodni ishga tushirishi mumkin.

Ushbu nuqsonning asosiy xususiyati — masofadan kodni bajarish (RCE) uchun hech qanday autentifikatsiya talab etilmasligi. Ta’sirlangan serverlar odatda WSUS roli yoqilgan Windows Server’lar bo‘lib, TCP 8530 va 8531 portlari orqali tarmoqdan foydalanadi.

Nega bu juda xavfli?

  • CVSS 3.1 bahosi: 9.8 (kritik) — bu zaiflikni juda jiddiy qiladi.
  • Komprometatsiya qilingan WSUS server orqali hujumchilar butun korporativ yangilash infra­tu­zilmasini buzib, lateral harakat, ma’lumot o‘g‘irlash yoki yomon niyatli yangilanishlar orqali tarmoq bo‘ylab zararli kod tarqatishi mumkin.
  • POC ekspluatatsiyalari ommaga chiqishi va proksi-tarmoqlar orqali keng tarqalishi kuzatilgan — bu ekspluatatsiya urinishlarini tezda oshirdi.
  • Ba’zi tashkilotlarda real dunyoda komprometatsiya holatlari (ichki AD ga kirish, qisqa uzilishlar) qayd etilgan.

CISA nima tavsiya qiladi?

CISA yangilanishida — tashkilotlar darhol quyidagi ustuvor choralarni amalga oshirishlari lozimligi ta’kidlangan:

  1. WSUS serverlarini aniqlash va tekshirish
    • PowerShell:
Get-WindowsFeature -Name UpdateServices

yoki Server Manager orqali WSUS roli yoqilgan serverlarni toping.

Oktyabr oyidagi tarmoqdan tashqari (out-of-band) yamoqni zudlik bilan qo‘llash
— Microsoft tomonidan chiqarilgan yangilanishni darhol o‘rnating va serverlarni qayta ishga tushiring.

Agar darhol yangilash mumkin bo‘lmasa — vaqtinchalik mitigatsiyalar

  • WSUS rolini vaqtincha o‘chirish yoki WSUS portlariga (8530/8531) kiruvchi trafikni firewall orqali bloklash; ideal holatda faqat ichki VPN orqali kirishni ruxsat berish.

Faoliyatni kuzatish va tahdidlarni ovlash

  • wsusservice.exe yoki w3wp.exe jarayonlarining SYSTEM imtiyozlari bilan chaqirilgan bolaning jarayonlarini tekshiring.
  • Base64-kodlangan PowerShell buyruqlari, cmd.exe/powershell.exe orqali ipconfig /all yoki domen/foydalanuvchi ro‘yxatini yig‘ish kabi buyruqlarni bajarish kabi noan’anaviy faoliyatni aniqlang.
  • WSUS journalarida seriyani chiqarish xatolari yoki Client.asmx nuqtalariga noo‘rnatilgan POST so‘rovlarni qidiring.

SIEM/EDR qoidalarini yangilash

  • Anomaliyalarni va base64-kodlangan buyruqlarni detektsiya qiluvchi signaturalarni qo‘shing.
  • Proksi-trafiklar va Cloudflare Workers subdomenlariga yo‘naltirilgan webhook chaqiruvlarini kuzating.

Tezkor tekshiruv buyruqlari (amaliy)

  • Ochilgan portlarni aniqlash (tashqi yoki ichki skan):
nmap -p 8530,8531 --open -Pn

Windows Server’da WSUS versiyasini tekshirish (PowerShell):

Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Update Services\Server\Setup" -Name Version

Event loglarida Client.asmx yoki seriyadan chiqarish bilan bog‘liq xatolarni qidirish:

Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Update Services'} -MaxEvents 1000

Qanday belgilarga e’tibor berish kerak?

  • WSUS loglarida nostandart seriyadan chiqarish xatolari yoki Client.asmx/Reporting nuqtalariga ko‘p POST so‘rovlar.
  • wsusservice.exe yoki w3wp.exe ostida yaratigan bo‘linma jarayonlarda PowerShell orqali base64-kodlangan buyruqlar bajarilishi.
  • Tarmoqdagi antigua proksi yoki Cloudflare Workers subdomenlariga ma’lumot chiqarilishi.
  • Shubhali “update approval” yozuvlari yoki kutilmagan yangilanish paketlari tarqatilishi.

Uzoq muddatli tavsiyalar

  • Patch management jarayonini qayta ko‘rib chiqing: yangilanishlarni tezkor sinov va tez joriy etish qobiliyatini oshiring.
  • WSUSlarni internetga bevosita ochmang: agar kerak bo‘lsa, tarmoqlarni qat’iy segmentatsiyalang va faqat ishonchli manbalar orqali yangilanishni yo‘lga qo‘ying.
  • Zero-trust tamoyilini joriy eting: yangilash serverlariga kirishni minimal imtiyozga asoslang.
  • Incident response playbook tayyorlang: WSUS komprometatsiyasi aniqlansa qanday choralar ko‘rilishini aniq yozib qo‘ying.
  • Audit va qattiq monitoring: WSUS faoliyatini SIEM orqali doimiy tahlil qilishni tashkil qiling.

CISA va boshqa federal organlar 2025-yil 14-noyabrgacha tuzatishlarni qo‘llashni talab qiluvchi holatlarni belgilashgan. Barcha tashkilotlar bu tahdidni jiddiy qabul qilib, yangilash va mitigatsiya choralarini darhol amalga oshirishlari zarur. Kechiktirish hujumlarni kuchaytirishi va keng ko‘lamli buzilishlarga olib kelishi mumkin.

WSUS singari yangilash infratuzilmalari korxona ichki xavfsizligining poydevoridir. CVE-2025-59287 kabi masofadan kod bajarish imkonini beruvchi zaifliklar esa bitta nuqson orqali butun tashkilotning xavfsizligini xavf ostiga qo‘yishi mumkin. CISA tavsiyalariga amal qilib, serverlarni aniqlash, tez yangilash, portlarni cheklash va anomaliyalarni kuzatish — bugungi kunda eng ustuvor vazifa.