
CISA faol ekspluatatsiya qilinayotgan yana to‘rtta zaiflikni KEV katalogiga kiritdi: tizimlarni zudlik bilan yangilash tavsiya etiladi!
AQShning Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) faol ravishda ekspluatatsiya qilinayotgan zaifliklar ro‘yxati — Known Exploited Vulnerabilities (KEV) katalogiga yana to‘rtta yangi zaiflikni qo‘shdi. Mazkur qaror ushbu zaifliklardan kiberjinoyatchilar tomonidan real hujumlarda foydalanilayotganiga oid dalillar aniqlanganidan so‘ng qabul qilindi.
KEV katalogiga kiritilgan zaifliklar tashkilotlar uchun eng yuqori xavf tug‘diruvchi zaifliklar hisoblanadi. Chunki ular nafaqat nazariy jihatdan mavjud, balki amaliy hujumlarda ham qo‘llanilmoqda. Shu sababli CISA mazkur zaifliklarni imkon qadar qisqa muddat ichida bartaraf etishni tavsiya qilmoqda.
KEV katalogi nima?
Known Exploited Vulnerabilities (KEV) — bu CISA tomonidan yuritiladigan maxsus katalog bo‘lib, unga kiberjinoyatchilar tomonidan amalda ekspluatatsiya qilinayotgan zaifliklar kiritiladi.
Oddiy CVE ro‘yxatidan farqli ravishda, KEV katalogiga faqat real hujumlarda foydalanilgani tasdiqlangan zaifliklar qo‘shiladi. Shu sababli axborot xavfsizligi mutaxassislari ushbu katalogni ustuvor ravishda kuzatib borishlari va undagi zaifliklarni imkon qadar tezroq bartaraf etishlari tavsiya etiladi.
1. Zimbra Collaboration Suite’dagi kritik zaiflik (CVE-2025-68645)
Eng muhim zaifliklardan biri Synacor Zimbra Collaboration Suite (ZCS) elektron pochta platformasida aniqlangan.
Zaiflik tavsifi
Mazkur zaiflik PHP Remote File Inclusion (RFI) turiga mansub bo‘lib, masofadagi hujumchiga autentifikatsiyasiz ravishda maxsus tayyorlangan HTTP so‘rovlari orqali tizimdagi fayllarni yuklash imkonini beradi.
Hujumchi /h/rest endpointidan foydalanib, WebRoot katalogidagi ixtiyoriy fayllarni tizimga ulashi mumkin.
Agar zaiflik muvaffaqiyatli ekspluatatsiya qilinsa, quyidagi xavflar yuzaga kelishi mumkin:
- serverdagi maxfiy fayllarni o‘qish;
- zararli kodni ishga tushirish;
- tizimni to‘liq nazorat ostiga olish;
- elektron pochta serveri orqali keyingi hujumlarni amalga oshirish.
Asosiy ma’lumotlar
- CVE: CVE-2025-68645
- CVSS: 8.8 (Yuqori)
- Ta’sirlangan mahsulot: Synacor Zimbra Collaboration Suite
- Bartaraf etilgan versiya: ZCS 10.1.13 va undan keyingi versiyalar
CrowdSec tadqiqotchilarining ma’lumotlariga ko‘ra, ushbu zaiflikdan foydalanishga qaratilgan hujumlar 2026-yil 14-yanvardan buyon kuzatilmoqda.
2. Versa Concerto SD-WAN platformasidagi autentifikatsiyani chetlab o‘tish zaifligi (CVE-2025-34026)
KEV katalogiga kiritilgan ikkinchi zaiflik Versa Concerto SD-WAN orkestratsiya platformasiga taalluqli.
Zaiflik tavsifi
Mazkur zaiflik autentifikatsiya mexanizmini chetlab o‘tishga imkon beradi.
Natijada hujumchi:
- administrator interfeysiga kirishi;
- boshqaruv API’laridan foydalanishi;
- tarmoq konfiguratsiyasini o‘zgartirishi;
- SD-WAN infratuzilmasini to‘liq nazorat ostiga olishi mumkin.
Asosiy ma’lumotlar
- CVE: CVE-2025-34026
- CVSS: 9.2 (Kritik)
- Bartaraf etilgan versiya: Versa Concerto 12.2.1 GA
SD-WAN infratuzilmalari ko‘plab yirik korxonalar va davlat tashkilotlarida qo‘llanilishi sababli ushbu zaiflik yuqori xavf darajasiga ega.
3. Vite (Vitejs) platformasidagi noto‘g‘ri ruxsat nazorati (CVE-2025-31125)
Uchinchi zaiflik zamonaviy veb-ilovalarni ishlab chiqishda keng foydalaniladigan Vite (Vitejs) platformasida aniqlangan.
Zaiflik tavsifi
Noto‘g‘ri ruxsat nazorati sababli hujumchi maxsus tayyorlangan URL parametrlaridan (?inline&import yoki ?raw?import) foydalanib serverdagi ayrim fayllarning mazmunini brauzer orqali o‘qishi mumkin.
Birinchi qarashda ushbu zaiflikning CVSS bahosi nisbatan past bo‘lsa-da, konfiguratsiya fayllari, API kalitlari yoki maxfiy ma’lumotlar sizib chiqishi ehtimoli uni amaliy jihatdan xavfli qiladi.
Asosiy ma’lumotlar
- CVE: CVE-2025-31125
- CVSS: 5.3
- Bartaraf etilgan versiyalar:
- 6.2.4
- 6.1.3
- 6.0.13
- 5.4.16
- 4.5.11
4. npm ta’minot zanjiri hujumi (CVE-2025-54313)
KEV katalogiga kiritilgan eng qiziqarli zaifliklardan biri eslint-config-prettier paketiga qaratilgan ta’minot zanjiri (Supply Chain Attack) hujumidir.
Zaiflik tavsifi
2025-yil iyul oyida noma’lum hujumchilar npm ekotizimidagi mashhur paketlar maintainerlarini phishing hujumi orqali nishonga oldi.
Ularga elektron pochta orqali hisoblarini tekshirish bahonasida soxta havolalar yuborildi.
Maintainerlar:
- login ma’lumotlarini kiritganidan so‘ng;
- akkauntlari egallab olindi;
- hujumchilar zararli kod qo‘shilgan yangi paket versiyalarini npm’ga joylashtirishga muvaffaq bo‘lishdi.
Natijada zararli kod quyidagi paketlarga tarqatildi:
- eslint-config-prettier;
- eslint-plugin-prettier;
- synckit;
- @pkgr/core;
- napi-postinstall;
- got-fetch;
- is.
Mazkur zararli kod Windows tizimlarida Scavenger Loader deb nomlangan DLL yuklovchisini ishga tushirib, keyinchalik ma’lumot o‘g‘irlovchi zararli dasturlarni yuklab olgan.
Asosiy ma’lumotlar
- CVE: CVE-2025-54313
- CVSS: 7.5
Mazkur hodisa dasturiy ta’minot ta’minot zanjiri hujumlarining so‘nggi yillardagi eng muhim misollaridan biri sifatida baholanmoqda.
Nima uchun KEV katalogi muhim?
CISA KEV katalogiga kiritilgan zaifliklar oddiy zaifliklardan tubdan farq qiladi.
Agar CVE bazasida minglab zaifliklar mavjud bo‘lsa, KEV ro‘yxatiga faqat:
- real hujumlarda foydalanilgan;
- ekspluatatsiya qilingani tasdiqlangan;
- tashkilotlar uchun yuqori xavf tug‘dirayotgan
zaifliklargina kiritiladi.
Shu sababli ko‘plab davlat organlari va yirik tashkilotlar xavfsizlik yangilanishlarini aynan KEV katalogi asosida ustuvorlik bilan o‘rnatadi.
CISA tavsiyalari
AQShning Binding Operational Directive (BOD) 22-01 talablariga muvofiq, Federal fuqarolik ijroiya organlari (FCEB) mazkur zaifliklarni 2026-yil 12-fevralga qadar bartaraf etishlari belgilangan.
Mutaxassislar barcha tashkilotlarga quyidagi choralarni tavsiya etmoqda:
- foydalanilayotgan dasturiy ta’minot versiyalarini tekshirish;
- ishlab chiquvchilar tomonidan chiqarilgan xavfsizlik yangilanishlarini zudlik bilan o‘rnatish;
- internetga ochiq serverlarni muntazam audit qilish;
- ekspluatatsiya alomatlarini aniqlash maqsadida tizim va tarmoq jurnallarini tahlil qilish;
- WAF, EDR hamda SIEM yechimlari orqali shubhali faoliyatni monitoring qilish;
- ta’minot zanjiri xavfsizligini kuchaytirish va uchinchi tomon paketlaridan foydalanishda ularning yaxlitligini tekshirish.
CISA tomonidan KEV katalogiga yana to‘rtta zaiflikning kiritilishi kiberjinoyatchilar nafaqat operatsion tizimlar va tarmoq qurilmalarini, balki elektron pochta platformalari, SD-WAN infratuzilmalari, veb-ishlab chiqish vositalari hamda ochiq manbali dasturiy paketlarni ham faol nishonga olayotganini ko‘rsatadi.
Ayniqsa, Zimbra Collaboration Suite va Versa Concerto SD-WAN platformalaridagi zaifliklar korporativ infratuzilmalar uchun jiddiy xavf tug‘dirsa, eslint-config-prettier bilan bog‘liq hodisa ta’minot zanjiri hujumlari zamonaviy kiberxavflarning eng dolzarb yo‘nalishlaridan biriga aylanganini yana bir bor tasdiqlaydi.
Shu bois tashkilotlar KEV katalogini muntazam kuzatib borishlari, unda qayd etilgan zaifliklarni ustuvor ravishda bartaraf etishlari hamda xavfsizlik yangilanishlarini kechiktirmasdan joriy etishlari axborot tizimlarini zamonaviy kiberxavflardan himoya qilishning muhim shartlaridan biri hisoblanadi.



