AVEVA dasturiy ta’minotidagi o‘ta xavfli zaifliklar: sanoat tizimlari to‘liq nazoratdan chiqishi mumkin

2026-yil 13-yanvar kuni sanoat jarayonlarini boshqarishda keng qo‘llaniladigan AVEVA Process Optimization (avvalgi nomi ROMeo) dasturiy mahsulotining 2024.1 va undan oldingi versiyalarida jiddiy xavfsizlik zaifliklari aniqlangani e’lon qilindi. Ushbu zaifliklar orasida eng xavflisi — foydalanuvchi autentifikatsiyasiz turib, SYSTEM darajasida masofadan kod bajarish (RCE) imkonini beruvchi kamchilik bo‘lib, u butun sanoat infratuzilmasini jiddiy xavf ostiga qo‘yadi.

Eng katta tahdid nimada?

Asosiy xavf ilovaning API qatlamidagi kritik kod inyeksiyasi zaifligi bilan bog‘liq. Ushbu nuqson orqali hujumchi hech qanday login yoki ruxsatsiz tarzda tarmoq orqali “taoimr” xizmati ustidan to‘liq nazoratni qo‘lga kiritishi mumkin. Natijada hujumchi:

  • operatsion tizim darajasida (SYSTEM) ixtiyoriy kod bajaradi;
  • Model Application Server’ni to‘liq egallaydi;
  • unga ulangan boshqa sanoat va ishlab chiqarish tizimlariga ham tarqalish imkoniga ega bo‘ladi.

Eng xavotirlisi — hujum foydalanuvchi aralashuvisiz, past murakkablikda va masofadan turib amalga oshiriladi. Bu esa uni real sanoat muhitida tez va yashirin ekspluatatsiya qilish imkonini beradi.

Aniqlangan zaifliklar manzarasi

O‘tkazilgan penetratsion testlar natijasida jami 7 ta jiddiy zaiflik aniqlangan bo‘lib, ularning aksariyati kritik darajada baholangan:

  • CVE-2025-61937 — autentifikatsiyasiz SYSTEM darajasida masofaviy kod bajarish (CVSS 10.0);
  • CVE-2025-64691 — makroslar orqali kod inyeksiyasi va imtiyozlarni oshirish;
  • CVE-2025-61943 — SQL inyeksiyasi orqali SQL Server administrator huquqlarini egallash;
  • CVE-2025-65118 — DLL hijacking orqali SYSTEM darajasiga ko‘tarilish;
  • CVE-2025-64729 — ACL’lar yetishmasligi sababli loyiha fayllarini soxtalashtirish;
  • CVE-2025-65117 — ichki OLE obyektlar orqali zararli kontent yetkazish;
  • CVE-2025-64769 — ma’lumotlarning ochiq matnda uzatilishi (MITM hujumlari).

Bu zaifliklar zanjirli tarzda ekspluatatsiya qilinsa, tajovuzkor oddiy foydalanuvchidan to‘liq tizim administratorigacha bo‘lgan yo‘lni qisqa vaqt ichida bosib o‘tishi mumkin.

Sanoat infratuzilmasi uchun oqibatlar

AVEVA Process Optimization ko‘pincha energetika, neft-gaz, kimyo va ishlab chiqarish sohalarida ishlatilgani sababli, ushbu zaifliklar:

  • texnologik jarayonlarning to‘xtab qolishi;
  • noto‘g‘ri hisob-kitoblar va ishlab chiqarish yo‘qotishlari;
  • sanoat josusligi;
  • hatto jismoniy xavfsizlikka tahdid tug‘diruvchi holatlarga olib kelishi mumkin.

Shu bois bu kamchiliklar oddiy IT muammosi emas, balki milliy va korporativ miqyosdagi sanoat xavfsizligi masalasi sifatida baholanmoqda.

Tavsiyalar va himoya choralari

AVEVA kompaniyasi barcha tashkilotlarga zudlik bilan AVEVA Process Optimization 2025 yoki undan yuqori versiyaga yangilanishni qat’iy tavsiya qilmoqda. Agar hozircha yangilash imkoni bo‘lmasa, quyidagi vaqtinchalik himoya choralarini ko‘rish zarur:

  • taoimr xizmati uchun (8888/8889 portlar) faqat ishonchli IP manzillarga ruxsat beruvchi firewall qoidalarini joriy etish;
  • o‘rnatish va ma’lumot kataloglariga qat’iy ACL (kirish nazorati) siyosatini qo‘llash;
  • loyiha fayllaridagi har qanday o‘zgarishni doimiy audit va monitoring qilish;
  • sanoat tarmog‘ini IT tarmog‘idan maksimal darajada segmentatsiya qilish.

Ushbu zaifliklar rejalashtirilgan xavfsizlik testi davomida Veracode tadqiqotchisi Christopher Wu tomonidan aniqlanib, CISA bilan hamkorlikda e’lon qilingan. Bu holat yana bir bor sanoat boshqaruv tizimlarida kiberxavfsizlikni ikkinchi darajali masala sifatida ko‘rish qanchalik xavfli ekanini ko‘rsatmoqda.

AVEVA muhitida ishlayotgan barcha tashkilotlar ushbu tahdidni e’tiborsiz qoldirmasdan, tezkor yangilash va qat’iy himoya choralarini ko‘rishi shart. Chunki bugungi kunda bitta zaiflik butun sanoat infratuzilmasining qulashi bilan yakunlanishi mumkin.