Cisco ISE tizimidagi jiddiy zaifliklar: masofaviy hujumlar uchun yangi imkoniyatlar

Raqamli infratuzilmalar tobora murakkablashib borayotgan bugungi davrda tarmoq xavfsizligini ta’minlovchi markaziy tizimlar — ayniqsa identifikatsiya va autentifikatsiya platformalari — alohida ahamiyat kasb etadi. Shunday muhim komponentlardan biri bo‘lgan Cisco Identity Services Engine (ISE) tizimida aniqlangan yangi zaifliklar esa kiberxavfsizlik mutaxassislarini jiddiy ogohlikka chorlamoqda.

2026-yil 15-aprel kuni Cisco tomonidan e’lon qilingan rasmiy xavfsizlik bildirishnomasiga ko‘ra, ISE hamda ISE Passive Identity Connector (ISE-PIC) mahsulotlarida bir nechta xavfli zaifliklar aniqlangan. Ushbu nuqsonlar autentifikatsiyadan o‘tgan masofaviy hujumchiga tizimda ixtiyoriy buyruqlarni bajarish, shuningdek, maxfiy fayllarga ruxsatsiz kirish imkonini berishi mumkin.

🔍 Eng xavfli zaiflik: masofaviy kod bajarilishi (RCE)

Aniqlangan zaifliklar orasida eng xavflisi — CVE-2026-20147 (CVSS 9.9 ball) bo‘lib, u masofadan turib kod bajarish (Remote Code Execution) imkonini beradi. Ushbu zaiflik foydalanuvchi tomonidan kiritiladigan ma’lumotlarning yetarli darajada tekshirilmasligi natijasida yuzaga kelgan.

Mazkur zaiflikdan foydalanish uchun hujumchi tizimda administrator darajasidagi hisobga ega bo‘lishi kerak. Maxsus tayyorlangan HTTP so‘rov yuborish orqali u operatsion tizim darajasida foydalanuvchi huquqlarini qo‘lga kiritadi va keyinchalik ularni root darajasigacha oshirishi mumkin.

Bu esa quyidagi xavfli oqibatlarga olib keladi:

  • tizim ustidan to‘liq nazoratni qo‘lga olish;
  • maxfiy ma’lumotlarni o‘g‘irlash yoki o‘zgartirish;
  • zararli dasturlarni joylashtirish;
  • butun tarmoq infratuzilmasini komprometatsiya qilish.

Agar ISE yagona tugunli (single-node) rejimda ishlayotgan bo‘lsa, ushbu zaiflik ekspluatatsiyasi tizimning ishdan chiqishiga ham sabab bo‘lishi mumkin. Natijada xizmatlar to‘xtab, foydalanuvchilar tarmoqqa kira olmay qoladi — bu esa amalda xizmatdan voz kechish (DoS) holatini yuzaga keltiradi.

📂 Ikkinchi zaiflik: Path Traversal orqali ma’lumotlar sizib chiqishi

Ikkinchi aniqlangan zaiflik — CVE-2026-20148 (CVSS 4.9 ball) bo‘lib, u path traversal turiga mansub. Bu zaiflik ham noto‘g‘ri kiritilgan ma’lumotlarni tekshirish natijasida yuzaga keladi.

Hujumchi yana administrator huquqlariga ega bo‘lgan holda, maxsus HTTP so‘rovlar orqali tizim kataloglari bo‘ylab harakatlanib, quyidagi imkoniyatlarga ega bo‘lishi mumkin:

  • tizimdagi maxfiy fayllarni o‘qish;
  • konfiguratsiya fayllarini qo‘lga kiritish;
  • autentifikatsiya ma’lumotlarini aniqlash.

Bu kabi hujumlar ko‘pincha keyingi bosqichdagi yanada jiddiy ekspluatatsiyalar uchun poydevor vazifasini bajaradi.

⚠️ Muhim jihat: zaifliklar mustaqil ishlaydi

Cisco tomonidan ta’kidlanishicha, ushbu ikki zaiflik bir-biridan mustaqil hisoblanadi. Ya’ni:

  • birining mavjudligi boshqasining mavjudligini anglatmaydi;
  • ularni ekspluatatsiya qilish uchun bir-biriga bog‘liqlik yo‘q.

Bu esa xavfni yanada murakkablashtiradi, chunki tizim qisman himoyalangan bo‘lsa ham, boshqa zaiflik orqali buzilishi mumkin.

🛠️ Yangilanishlar — yagona yechim

Afsuski, Cisco ushbu zaifliklar uchun vaqtinchalik yechimlar (workaround) mavjud emasligini bildirgan. Shuning uchun yagona to‘g‘ri chora — tizimni zudlik bilan yangilash.

Quyidagi versiyalar xavfsiz deb e’lon qilingan:

  • 3.1 → Patch 11
  • 3.2 → Patch 10
  • 3.3 → Patch 11
  • 3.4 → Patch 6
  • 3.5 → Patch 3

3.1 dan eski versiyalar esa qo‘llab-quvvatlanmaydi va ularni yangiroq versiyalarga migratsiya qilish zarur.

Shuningdek, ISE-PIC mahsuloti uchun 3.4 versiyasi so‘nggi qo‘llab-quvvatlanadigan reliz ekanligi va mahsulot sotuvdan chiqarilganini ham inobatga olish lozim.

🧠 Qo‘shimcha xavfsizlik tavsiyalari

Tizimni yangilash bilan bir qatorda, quyidagi choralarni ko‘rish tavsiya etiladi:

  • administrator hisoblari uchun ko‘p faktorli autentifikatsiyani (MFA) joriy etish;
  • tizim loglarini doimiy monitoring qilish;
  • tarmoq segmentatsiyasini kuchaytirish;
  • HTTP so‘rovlarni filtrlovchi xavfsizlik vositalaridan foydalanish (WAF);
  • minimal huquqlar tamoyiliga amal qilish (least privilege).

🧾 Xulosa

Cisco ISE tizimidagi ushbu zaifliklar yana bir bor shuni ko‘rsatadiki, hatto eng ishonchli va keng qo‘llaniladigan tarmoq xavfsizlik yechimlari ham muntazam ravishda tekshiruv va yangilanishni talab qiladi.

Hozircha ushbu zaifliklardan faol foydalanilayotgani haqida ochiq ma’lumotlar mavjud emas. Biroq bu holat beparvolikka sabab bo‘lmasligi kerak. Chunki bugungi kunda zaiflik e’lon qilingani — ertaga uning ekspluatatsiyasi boshlanishi ehtimolini keskin oshiradi.

Shu bois, har bir tizim administratori va kiberxavfsizlik mutaxassisi ushbu ogohlantirishni jiddiy qabul qilib, o‘z infratuzilmasini zudlik bilan himoyalashi zarur.