CISA KEV katalogi kengaydi: 2025-yilda ekspluatatsiya qilinayotgan zaifliklar keskin oshdi
So‘nggi yillarda kiberxavfsizlik global miqyosda eng dolzarb muammolardan biriga aylandi. Ayniqsa, real hujumlarda faol ekspluatatsiya qilinayotgan zaifliklar tashkilotlar uchun eng katta xavf manbai hisoblanadi. Shu nuqtai nazardan, AQShning Kiberxavfsizlik va infratuzilmani himoyalash agentligi — CISA (Cybersecurity and Infrastructure Security Agency) tomonidan yuritiladigan Known Exploited Vulnerabilities (KEV) katalogi alohida ahamiyat kasb etadi.
2025-yil dekabr holatiga ko‘ra, CISA KEV katalogidagi zaifliklar soni 1 484 taga yetdi. Bu ko‘rsatkich nafaqat muhim statistik chegara, balki real kiberxavf darajasining qanchalik oshganini ham yaqqol namoyon etadi.
KEV katalogi: qisqacha tarix va ahamiyati
KEV katalogi ilk bor 2021-yil noyabr oyida 311 ta zaiflik bilan ishga tushirilgan edi. Uning asosiy farqi shundaki, u an’anaviy CVSS ballariga emas, balki real hayotda faol ekspluatatsiya qilinayotgan zaifliklarga asoslanadi. Ya’ni, katalogga faqatgina hujumchilar tomonidan amalda ishlatilayotgani isbotlangan zaifliklargina kiritiladi.
So‘nggi to‘rt yil davomida katalog keskin kengaydi:
| Yil | Qo‘shilgan zaifliklar | Umumiy son |
|---|---|---|
| 2021 | 311 | 311 |
| 2022 | 555 | 866 |
| 2023 | 187 | 1 053 |
| 2024 | 186 | 1 239 |
| 2025 | 245 | 1 484 |
Ayniqsa, 2025-yilda 245 ta yangi zaiflik qo‘shilgani alohida e’tiborga loyiq bo‘lib, bu 2023–2024-yillardagi o‘rtacha ko‘rsatkichlardan 20–30% yuqoridir. Bu holat kiberjinoyatchilar faolligi oshganini yoki zaifliklarni aniqlash va razvedka qilish mexanizmlari kuchayganini anglatadi.
KEV va BOD 22-01: majburiy talablar
KEV katalogi CISA’ning BOD 22-01 (Binding Operational Directive) hujjati doirasida yuritiladi. Ushbu direktiva AQSh Federal fuqaro ijro etuvchi organlari (FCEB) uchun majburiy hisoblanadi va quyidagilarni talab qiladi:
- 2021-yildan keyingi CVE’lar — 2 hafta ichida bartaraf etilishi shart;
- 2021-yilgacha bo‘lgan zaifliklar — 6 oy ichida tuzatilishi lozim.
Mazkur talablar faqat federal idoralar uchun majburiy bo‘lsa-da, CISA xususiy sektor tashkilotlarini ham KEV’ni asosiy ustuvorlik manbai sifatida qabul qilishga qat’iy tavsiya etadi.
Ransomware va KEV: xavfli uyg‘unlik
2025-yilgi tahlillar eng xavotirli jihatlardan birini ochib berdi:
1 484 ta zaiflikdan 304 tasi (20,5%) bevosita ransomware hujumlarida ishlatilgan.
2025-yilning o‘zida 24 ta yangi zaiflik ransomware operatorlari tomonidan ekspluatatsiya qilinayotgani tasdiqlandi. Jumladan:
- CVE-2025-5777 (CitrixBleed 2) — Citrix NetScaler’da xotira o‘qish zaifligi;
- Oracle E-Business Suite’ga oid bir nechta SSRF va noma’lum zaifliklar;
- Fortra GoAnywhere MFT, Microsoft SharePoint, SAP NetWeaver kabi keng tarqalgan enterprise tizimlardagi kamchiliklar.
Ayniqsa e’tiborlisi, Microsoft 100 ta ransomware bilan bog‘liq zaiflik bilan yetakchi o‘rinni egalladi, undan keyin Fortinet, Ivanti va Oracle keladi. Bu esa keng qo‘llaniladigan platformalar doimo hujumchilarning diqqat markazida ekanini ko‘rsatadi.
Vendorlar kesimida xavf manzarasi
KEV katalogidagi zaifliklar vendorlar bo‘yicha notekis taqsimlangan:
| Vendor | Zaifliklar soni |
|---|---|
| Microsoft | 350 |
| Apple | 86 |
| Cisco | 82 |
| Adobe | 76 |
| 67 | |
| Oracle | 42 |
| Apache | 38 |
| Ivanti | 30 |
| VMware | 26 |
| D-Link | 25 |
Microsoft’ning ulushi deyarli 24% bo‘lib, bu uning bozor ulushi va mahsulotlar xilma-xilligi bilan bevosita bog‘liq. Shu bilan birga, Adobe, Apache, VMware va Palo Alto Networks kabi ayrim vendorlarda 2025-yilda zaifliklar sonining kamaygani xavfsiz dasturlash amaliyotlari yaxshilanayotganidan dalolat beradi.
Eng ko‘p ekspluatatsiya qilinayotgan zaiflik turlari (CWE)
KEV katalogi zaifliklarning mohiyatini ham aniq ko‘rsatib beradi. Eng ko‘p uchraydigan CWE toifalari quyidagilar:
- CWE-20 — noto‘g‘ri kiruvchi ma’lumotlarni tekshirish (113 ta);
- CWE-78 — operatsion tizim buyruqlarini injeksiya qilish (97 ta);
- CWE-787 — xotira chegarasidan chiqib yozish (96 ta);
- CWE-416 — Use-After-Free (86 ta);
- CWE-502 — ishonchsiz ma’lumotni deserializatsiya qilish (58 ta).
Bu ko‘rsatkichlar shuni anglatadiki, asosiy muammolar hanuzgacha dasturiy ta’minot ishlab chiqish bosqichida yuzaga kelmoqda. Ayniqsa, C va C++ tillarida yozilgan tizimlarda xotira bilan bog‘liq zaifliklar saqlanib qolmoqda.
Xulosa va tavsiyalar
2025-yilda KEV katalogining keskin kengayishi kiberxavfsizlik sohasida aniq haqiqatni ko‘rsatdi:
hujumchilar nazariy zaifliklarni emas, amalda ishlaydigan kamchiliklarni tanlayapti.
KEV katalogi bugun nafaqat AQSh federal idoralari, balki har qanday tashkilot uchun real tahdidlarni aniqlashda eng ishonchli manbalardan biri hisoblanadi.
🛡 Amaliy tavsiyalar:
- KEV katalogiga asoslangan ustuvor patch management tizimini joriy etish;
- aktivlar (asset inventory)ni aniq yuritish;
- darknet va tahdid razvedkasi manbalarini monitoring qilish;
- ransomware’ga qarshi zaxira nusxalar va segmentatsiyani kuchaytirish.
Bugungi kunda KEV katalogi — bu oddiy ro‘yxat emas, balki 2025 va undan keyingi yillardagi kiberxavflarga qarshi strategik yo‘l xaritasidir.
