CISA VMware vCenter’dagi o‘ta xavfli RCE zaifligi bo‘yicha ogohlantirdi: tizimlar faol ravishda nishonga olinmoqda

AQShning Kiberxavfsizlik va infratuzilmani himoya qilish agentligi — CISA — Broadcom kompaniyasiga tegishli VMware vCenter Server dasturida aniqlangan o‘ta xavfli zaiflikni o‘zining Known Exploited Vulnerabilities (KEV) katalogiga kiritdi. Bu esa CVE-2024-37079 identifikatoriga ega ushbu kamchilik real hujumlarda allaqachon faol qo‘llanilayotganini tasdiqlaydi.

Mazkur holat virtual infratuzilmalarga tayanadigan korxonalar, ma’lumotlar markazlari hamda davlat tashkilotlari uchun jiddiy xavf tug‘diradi. Chunki vCenter Server — VMware vSphere muhitining markaziy boshqaruv komponenti bo‘lib, u orqali butun virtual serverlar, tarmoqlar va resurslar nazorat qilinadi.

Zaiflikning mohiyati nimada?

Ushbu zaiflik DCERPC (Distributed Computing Environment / Remote Procedure Calls) protokoli implementatsiyasida yuzaga kelgan xotira bilan noto‘g‘ri ishlash natijasidir. Texnik tasnifga ko‘ra, u CWE-787 — Out-of-bounds Write turiga kiradi, ya’ni dastur xotiraning ruxsat etilmagan qismiga yozuv amalga oshirishi mumkin.

Hujumchi hech qanday autentifikatsiyasiz, faqat tarmoq orqali maxsus tayyorlangan paketlarni yuborish orqali vCenter serverda masofadan kod ishga tushirish (Remote Code Execution — RCE) imkoniyatiga ega bo‘ladi.

Bu esa quyidagi oqibatlarga olib kelishi mumkin:

  • vCenter serverni to‘liq egallash
  • Virtual infratuzilma ustidan to‘liq nazoratni qo‘lga kiritish
  • Boshqa virtual mashinalarga lateral harakat qilish (lateral movement)
  • Administrator huquqlarini qo‘lga kiritish
  • Butun data center muhitini falaj holatga keltirish

Eng xavfli jihati — bu zaiflik foydalanuvchi ishtirokini talab qilmaydi. Hujum vCenter tarmoq interfeysi ochiq bo‘lsa, to‘g‘ridan-to‘g‘ri amalga oshiriladi.

Nega bu zaiflik ayniqsa xavfli?

vCenter — oddiy server emas. U butun virtual infratuzilmaning “bosh miyasi” hisoblanadi. Agar hujumchi vCenter’ni egallasa:

  • Barcha ESXi hostlar ustidan nazorat o‘rnatadi
  • Virtual mashinalarni o‘chirib qo‘yishi yoki nusxalashi mumkin
  • Zaxira nusxalarni (backup) o‘chirib tashlashi mumkin
  • Ransomware hujumlari uchun ideal start nuqtaga ega bo‘ladi

Shu sababli bunday turdagi zaifliklar ko‘pincha Initial Access Broker guruhlari va ransomware operatorlari uchun eng jozibador kirish nuqtasi hisoblanadi.

Hozircha CISA ushbu zaiflik ransomware kampaniyalarida ishlatilgani haqida aniq dalil yo‘qligini bildirgan bo‘lsa-da, uning texnik xususiyatlari bu xavfni juda yuqori darajaga olib chiqadi.

CISA talabi va muddatlar

CISA ushbu zaiflikni 2026-yil 23-yanvar kuni KEV ro‘yxatiga kiritdi va AQShning Federal tashkilotlariga uni 2026-yil 13-fevralgacha bartaraf etishni majburiy qilib belgiladi.

Agentlik nafaqat federal tashkilotlar, balki barcha korxonalarni ushbu zaiflikni zudlik bilan yopishga chaqirmoqda.

Himoyalanish choralarini kechiktirmang

Broadcom tomonidan vCenter Server uchun xavfsizlik yangilanishlari allaqachon chiqarilgan. Tizim ma’murlari quyidagi choralarni darhol ko‘rishlari tavsiya etiladi:

1. Zudlik bilan yangilash (Patch qilish)

Broadcom e’lon qilgan xavfsizlik yangilanishlarini o‘rnating va vCenter’ni eng so‘nggi himoyalangan versiyaga yangilang.

2. Tarmoq segmentatsiyasi

vCenter boshqaruv interfeysi hech qachon internetga ochiq bo‘lmasligi kerak. U faqat ishonchli administrativ tarmoq orqali kirish mumkin bo‘lgan yopiq segmentda joylashgan bo‘lishi zarur.

3. DCERPC trafikni kuzatish

Tarmoqqa monitoring o‘rnatib, vCenter tomon yo‘naltirilgan shubhali DCERPC so‘rovlarini aniqlash.

4. Loglarni tahlil qilish

Boshqaruv interfeysiga bo‘lgan g‘ayrioddiy yoki ruxsatsiz ulanish urinishlarini audit qilish.

5. Agar yangilash imkoni bo‘lmasa

Vaqtincha vCenter xizmatini tarmoqdan ajratib qo‘yish yoki foydalanishni to‘xtatish tavsiya etiladi.

CVE-2024-37079 oddiy zaiflik emas. Bu virtual infratuzilmaning yuragi bo‘lgan vCenter Server’ni masofadan turib egallash imkonini beruvchi o‘ta xavfli RCE kamchiligidir. Uning allaqachon real hujumlarda qo‘llanilayotgani esa vaziyatning jiddiyligini yanada oshiradi.

Bugungi kunda ko‘plab tashkilotlar butun IT infratuzilmasini virtual muhitga o‘tkazgan. Shunday ekan, vCenter’dagi bitta zaiflik butun tizimni xavf ostida qoldirishi mumkin.

Vaqt juda qisqa. Patch qilishni kechiktirish esa hujumchilar ishini osonlashtirish bilan barobar.