🔐 ASUS serverlarida jiddiy zaiflik aniqlandi

So‘nggi xavfsizlik tahlillarida server infratuzilmalariga jiddiy tahdid soluvchi CVE-2024-54085 raqamli zaiflik aniqlangan. Bu zaiflik AMI kompaniyasining MegaRAC BMC (Baseboard Management Controller) mikrodasturiy ta’minotida mavjud bo‘lib, ASUS, Lenovo, HPE, ASRock kabi yirik server ishlab chiqaruvchilari tomonidan keng qo‘llaniladi.

Zaiflik tafsilotlari:

  • Zaiflik ID raqami: CVE-2024-54085
  • Baholash darajasi (CVSS v4): 10.0 (Kritik)
  • Ta’sirlangan ishlab chiqaruvchilar: ASUS, Lenovo, HPE, ASRock va boshqalar
  • Ta’sirchan modul: MegaRAC BMC (Baseboard Management Controller)
  • Tashqi interfeys: Redfish API – serverlarni tarmoq orqali masofadan boshqarish protokoli

Agar ushbu zaiflik muvaffaqiyatli ekspluatatsiya qilinsa, xakerlar mahalliy yoki masofaviy tarzda server ustidan to‘liq nazoratni qo‘lga kiritishlari mumkin. Bu orqali ular quyidagi xavfli harakatlarni amalga oshirishi ehtimoldan xoli emas:

  • Ransomware yoki boshqa doimiy zararli dasturlarni o‘rnatish
  • Mikrodasturiy darajadagi manipulyatsiyalar (firmware-level tampering)
  • Server komponentlarini kuchlanish orqali ishdan chiqarish (over-voltage)
  • Tizimni cheksiz qayta yuklanish holatiga olib kelish
  • Qurilmani butunlay ishlamay qolishiga olib keluvchi komponent ishdan chiqishi

Bu holat korxona va tashkilotlar uchun katta moddiy zarar, tizimning ishdan chiqishi, maxfiy ma’lumotlar yo‘qolishi kabi tahdidlarni yuzaga keltirishi mumkin.

Eslatma: ASUS foydalanuvchilari zudlik bilan yuqoridagi modellar uchun eng so‘nggi BMC mikrodasturiy ta’minotiga (firmware) yangilanishlari lozim.

✅ Lenovo va HPE allaqachon yamoqlarni chiqarib ulgurgan

Yaxshi yangilik shuki, Lenovo va HPE ushbu zaiflikni bartaraf etuvchi yamoqlarni (security patches) allaqachon e’lon qilgan. Bu esa foydalanuvchilar va IT mutaxassislari tomonidan qo‘shimcha vaqt yo‘qotmasdan xavfsizlikni tiklash imkonini beradi.

📣 Tashkilotlarga tavsiyalar

  • Aksiyadorlar, sho‘ba korxonalar va texnologik hamkorlar darhol ushbu ma’lumotdan xabardor qilinishi lozim.
  • BMC mikrodasturini yangilash ishlari tez fursatda rejalashtirilsin.
  • Serverlarga ulangan Redfish interfeysi ustidan tarmoq monitoringi kuchaytirilsin.
  • Masofaviy boshqaruv portlari (IPMI, Redfish, SSH va h.k.) zarur bo‘lmasa, o‘chirilishi yoki faqat VPN orqali foydalanilishi lozim.
  • Tizimdagi barcha serverlar to‘liq xavfsizlik skanerdan o‘tkazilsin.

Birlashgan Arab Amirliklari Kiberxavfsizlik Kengashi barcha hamkorlarga minnatdorchilik bildirar ekan, mazkur zaiflik bo‘yicha har qanday yangilik, aniqlangan holatlar va texnik tafsilotlar bilan o‘rtoqlashishni so‘raydi.

Chunki bugungi kunda kiberxavfsizlik nafaqat texnologik masala, balki o‘zaro ishonch, shaffoflik va hamkorlikka tayanadigan muhim strategik yo‘nalishga aylanib bormoqda.