ASUS MyASUS dasturidagi jiddiy zaiflik: foydalanuvchilarga SYSTEM darajasigacha hujum qilish imkonini berishi aniqlandi
Kompyuter xavfsizligi sohasida har bir zaiflik katta oqibatlarga sabab bo‘lishi mumkin. ASUS kompaniyasi yaqinda o‘zining MyASUS dasturida aniqlangan yuqori xavf darajasiga ega zaiflik haqida rasmiy ogohlantirish e’lon qildi. CVE-2025-59373 sifatida ro‘yxatga olingan ushbu zaiflik millionlab foydalanuvchilarning qurilmalarini bevosita xavf ostiga qo‘yadi.
Zaiflikning mohiyati
MyASUS — bu ASUS kompyuterlarida tizim sozlamalari, apparat boshqaruvi, drayverlar va texnik xizmat ko‘rsatish funksiyalarini boshqaruvchi rasmiy ilova. Mazkur zaiflik aynan uning asosiy komponenti — ASUS System Control Interface Service ichidan aniqlangan.
Ushbu servis tizimning ichki parametrlarini boshqaradi va yuqori darajadagi vakolatlarga ega. Natijada, yengil darajadagi lokal kirish huquqiga ega bo‘lgan xaker hatto eng past darajadagi foydalanuvchi bo‘lsa ham, ushbu zaiflik orqali o‘z vakolatini SYSTEM darajasiga ko‘tarishi mumkin bo‘ladi.
SYSTEM darajasi — Windows operatsion tizimdagi eng yuqori vakolat bo‘lib, u administrator darajasidan ham kuchli hisoblanadi.
Nega bu juda xavfli?
SYSTEM darajasiga erishgan hujumchi quyidagi imkoniyatlarga ega bo‘ladi:
- kompyuterda istalgan kodni ishga tushirish;
- rootkit yoki qiyin aniqlanadigan zararli dasturlarni o‘rnatish;
- barcha ma’lumotlarni ko‘rish, o‘zgartirish yoki o‘chirib yuborish;
- tizim konfiguratsiyasini o‘zgartirish;
- korporativ tarmoqlarda yonma-yon (lateral movement) hujumlar o‘tkazish.
Bu imkoniyatlarning barchasi ayniqsa kompaniya, tashkilot va yirik korporatsiyalar uchun nihoyatda xavflidir. Bitta zaif kompyuter orqali butun ichki tarmoq tahdid ostiga tushishi mumkin.
Zaiflik bo‘yicha qisqa texnik ma’lumotlar
| Parametr | Tafsilot |
|---|---|
| CVE ID | CVE-2025-59373 |
| Ta’sirlanuvchi mahsulot | ASUS System Control Interface (MyASUS) |
| Zaiflik turi | Privilege Escalation — vakolatlarni oshirish |
| Ta’siri | SYSTEM darajasiga ko‘tarilish |
| CVSS 4.0 bahosi | 8.5 (High) |
| Ekspluatatsiya talablari | Lokal, past darajadagi kirish huquqi yetarli |
Zaiflikni ekspluatatsiya qilish oson, foydalanuvchining hech qanday tasdig‘ini talab qilmaydi va murakkablik darajasi past. Faqat qurilmaga cheklangan lokal kirish bo‘lishi kifoya.
Qaysi qurilmalar ta’sirlangan?
Zaiflik deyarli barcha ASUS shaxsiy kompyuterlariga taalluqlidir:
- noutbuklar,
- stasionar kompyuterlar,
- NUC mini-kompyuterlar,
- All-in-One (AIO) kompyuterlar.
MyASUS o‘rnatilgan bo‘lsa — qurilma ta’sirlangan bo‘lishi ehtimoli yuqori.
ASUS tomonidan chiqarilgan tuzatilgan versiyalar
Foydalanuvchilar quyidagi versiyalarga yangilanishi shart:
- ASUS System Control Interface 3.1.48.0 — x64 tizimlar uchun
- ASUS System Control Interface 4.2.48.0 — ARM asosidagi qurilmalar uchun
Versionni tekshirish uchun:
MyASUS → Settings → About bo‘limiga kirish kifoya.
Yangilanish Windows Update orqali avtomatik ham yuklanadi.
Kiberxavfsizlik bo‘yicha tavsiyalar
ASUS foydalanuvchilariga ham, korporativ IT bo‘limlariga ham quyidagi choralar keskin tavsiya etiladi:
- Darhol MyASUS ilovasini oxirgi versiyaga yangilang.
- Kompaniyalarda barcha ASUS qurilmalarini inventarizatsiya qilib, patchlarni markazlashgan holda yuboring.
- Tizimlarda g‘ayrioddiy jarayonlar, ruxsatsiz o‘zgarishlar yoki noma’lum xizmatlarning paydo bo‘lishini monitoring qiling.
- Past darajadagi foydalanuvchi hisoblarining ortiqcha vakolatga ega emasligiga ishonch hosil qiling.
- Zararli dasturlarga qarshi yechimlar va EDR/AV tizimlarini yangilang va faol ishlating.
ASUS MyASUS ilovasida aniqlangan ushbu zaiflik, bir qarashda oddiy dasturiy komponent bo‘lsa-da, tizim xavfsizligini butunlay izdan chiqarishi mumkinligini yana bir bor ko‘rsatdi. Privilege escalation — zamonaviy kiberhujumlar ichida eng ko‘p uchraydigan va eng xavfli mexanizmlardan biridir.
Shuning uchun foydalanuvchilar ham, tashkilotlar ham o‘z qurilmalarini vaqtida yangilab borishi, xavfsizlik yangiliklarini muntazam kuzatib borishi va har qanday shubhali faollikka jiddiy yondashishi zarur.
