BeyondTrust’dagi kritik zaiflik: to‘liq domen nazoratiga olib keluvchi tahdid!

Kiberxavfsizlik olamida yana bir jiddiy tahdid yuzaga chiqdi. Yaqinda aniqlangan CVE-2026-1731 identifikatoriga ega zaiflik mutaxassislar tomonidan eng yuqori — 9.8 (Critical) ball bilan baholanib, real muhitda faol ekspluatatsiya qilinayotgani ma’lum bo‘ldi. Ushbu zaiflik masofaviy boshqaruv yechimlari bilan mashhur bo‘lgan BeyondTrust platformasining ayrim o‘z-o‘zini joylashtirgan (self-hosted) versiyalarida aniqlangan.

Mazkur zaiflik autentifikatsiyasiz masofadan turib operatsion tizim buyruqlarini bajarish imkonini beradi. Ya’ni, hujumchi maxsus shakllantirilgan HTTP so‘rovlari orqali tizimga kirish huquqisiz ham serverda buyruqlarni ishga tushirishi mumkin. Bu esa to‘liq tizim buzilishi, hatto butun domen ustidan nazoratni qo‘lga kiritish bilan yakunlanadi.

Muammo asosan BeyondTrust’ning quyidagi mahsulotlariga taalluqli:

  • Remote Support (RS) — 25.3.1 va undan oldingi versiyalar
  • Privileged Remote Access (PRA) — 24.3.4 va undan oldingi versiyalar

Bulutli (cloud-hosted) xizmatlardan foydalanuvchi mijozlar avtomatik ravishda himoyalangan bo‘lsa-da, self-hosted infratuzilmalar egalariga yangilanishlarni qo‘lda o‘rnatish tavsiya etilmoqda.

Hujumchilarning faoliyati

Kiberxavfsizlik kompaniyasi Arctic Wolf tomonidan olib borilgan tahlillar hujumchilarning aniq taktikasini ochib berdi. Ular tizimga kirgach, keyingi ekspluatatsiya bosqichida SimpleHelp masofaviy boshqaruv vositasidan foydalanishgan.

Tahlillar shuni ko‘rsatadiki, zararli fayllar:

  • SYSTEM darajasidagi huquqlar bilan yaratilgan
  • ProgramData katalogiga joylashtirilgan
  • Ko‘pincha remote access.exe nomi bilan saqlangan

Hujumchilar tizimni egallagach, domen darajasidagi huquqlarni qo‘lga kiritish uchun quyidagi buyruqlardan foydalangan:

  • net user — yangi foydalanuvchilar yaratish
  • net group — administrator guruhlariga qo‘shish

Natijada, ular o‘zlariga Domain Admin yoki Enterprise Admin huquqlarini berib, butun infratuzilmani nazorat qilish imkoniyatiga ega bo‘lishgan.

Tarmoq ichida kengayish usullari

Tahlil davomida hujumchilarning faqat bitta server bilan cheklanib qolmagani aniqlandi. Ular Active Directory muhitini o‘rganish va boshqa tizimlarga o‘tish uchun quyidagi vositalardan foydalangan:

  • AdsiSearcher — domen obyektlarini aniqlash
  • net share, ipconfig /all, systeminfo — tarmoq razvedkasi
  • PSExec va Impacket — lateral harakat (lateral movement)

Bundan tashqari, SMBv2 protokoli orqali tarmoq ichida zararli komponentlarni tarqatish kuzatilgan. Bu esa hujumning muvofiqlashtirilgan va oldindan rejalashtirilganini ko‘rsatadi.

Yamoqlar va himoya choralari

Zaiflik aniqlangach, BeyondTrust ishlab chiquvchilari tezkor tarzda xavfsizlik yangilanishlarini taqdim etdi:

  • RS uchun: BT26-02-RS patch
  • PRA uchun: BT26-02-PRA patch

AQShning kiberxavfsizlik organi — CISA ham ushbu zaiflik yuzasidan ogohlantirish bilan chiqdi. Unga ko‘ra, eski versiyalardan foydalanayotgan self-hosted tizimlar avval minimal qo‘llab-quvvatlanadigan versiyaga yangilanib, shundan so‘ng patch o‘rnatilishi lozim.

Administratorlar uchun tavsiyalar

Mutaxassislar barcha tizim administratorlariga quyidagi choralarni ko‘rishni qat’iy tavsiya etmoqda:

  • Barcha zaif versiyalarni zudlik bilan yangilash
  • Tizimlarda noma’lum SimpleHelp fayllarini tekshirish
  • Shubhali administrator akkauntlarini aniqlash
  • SMB sessiyalari bilan bog‘liq g‘ayrioddiy trafikni tahlil qilish
  • Active Directory auditini kuchaytirish

Shuningdek, tizim jurnal yozuvlarini (logs) chuqur tahlil qilish orqali ehtimoliy buzilishlarni erta aniqlash mumkin.

CVE-2026-1731 zaifligi yana bir bor shuni ko‘rsatdiki, masofaviy boshqaruv vositalari tashkilot infratuzilmasining eng zaif nuqtalaridan biri bo‘lib qolmoqda. Ayniqsa, self-hosted yechimlardan foydalanayotgan tashkilotlar uchun muntazam yangilanishlar va xavfsizlik monitoringi hayotiy ahamiyatga ega.

Bugungi raqamli davrda bitta zaiflik butun domen, hatto global infratuzilma xavfsizligiga tahdid solishi mumkin. Shu bois, proaktiv himoya, tezkor patchlash va doimiy monitoring har bir tashkilotning ustuvor vazifasiga aylanishi zarur.