Dell Data Lakehouse’da kritik zaiflik: masofaviy hujumchilar tizim ustidan to‘liq nazorat o‘rnatishi mumkin
2025-yil 12-noyabr kuni Dell Technologies kompaniyasi o‘zining Data Lakehouse platformasida aniqlangan jiddiy xavfsizlik zaifligi haqida rasmiy ogohlantirish e’lon qildi. Ushbu zaiflik CVE-2025-46608 raqami ostida ro‘yxatga olingan bo‘lib, 1.6.0.0 versiyasidan avvalgi barcha versiyalarni qamrab oladi. U CVSS 9.1 ball bilan baholangan bo‘lib, “kritik xavf” toifasiga kiradi.
Zaiflikning mohiyati
Aniqlangan zaiflik noto‘g‘ri kirish nazorati (improper access control) bilan bog‘liq bo‘lib, tizimdagi ruxsat darajalarini to‘g‘ri tekshirmaslik natijasida paydo bo‘ladi. Bu kamchilikdan foydalangan holda masofaviy hujumchi o‘zining mavjud imtiyozlarini kengaytirib, tizimda ruxsatsiz harakatlarni amalga oshirishi mumkin.
Boshqacha aytganda, agar tajovuzkor tarmoqqa kirish huquqiga ega bo‘lsa, ushbu zaiflik orqali u administrator (yoki tizim darajasidagi) vakolatlarni qo‘lga kiritadi. Natijada, u tizimdagi maxfiy ma’lumotlarni o‘qish, o‘zgartirish, o‘chirish yoki butun infratuzilmani ishdan chiqarish imkoniyatiga ega bo‘ladi.
Texnik tafsilotlar
| Xususiyat | Tafsilot |
|---|---|
| CVE ID | CVE-2025-46608 |
| Ta’sirlangan mahsulot | Dell Data Lakehouse |
| Xavf darajasi (CVSS) | 9.1 – Kritik |
| Ta’sirlangan versiyalar | 1.6.0.0 gacha bo‘lgan barcha versiyalar |
| Yangi tuzatilgan versiya | 1.6.0.0 yoki undan yuqori |
| Murakkablik | Past (Low complexity) |
| Foydalanuvchi aralashuvi | Talab qilinmaydi |
| Hujum yo‘nalishi | Tarmoq orqali (Network) |
Xavf darajasi va ta’siri
Mazkur zaiflik ayniqsa xavfli hisoblanadi, chunki hujumni amalga oshirish uchun foydalanuvchi aralashuvi talab etilmaydi, va hujum murakkabligi past. Bu esa tajovuzkorlar uchun zaiflikdan foydalanishni osonlashtiradi. Ular nafaqat Data Lakehouse komponentini, balki unga ulangan boshqa resurslarni ham nishonga olishi mumkin.
Muvaffaqiyatli ekspluatatsiya quyidagi oqibatlarga olib kelishi mumkin:
- Tizimdagi maxfiy ma’lumotlarning oshkor bo‘lishi;
- Muhim ma’lumotlarning o‘zgartirilishi yoki o‘chirilishi;
- Xizmatlar faoliyatining izdan chiqishi yoki to‘xtashi;
- Tizim yaxlitligi va ishonchliligiga putur yetishi.
Dell kompaniyasining tavsiyasi
Dell Technologies ushbu zaiflikni bartaraf etish maqsadida Data Lakehouse 1.6.0.0 versiyasini chiqargan. Kompaniya barcha foydalanuvchilarga darhol yangilanishni o‘rnatishni qat’iy tavsiya qiladi. Shuningdek, mijozlar yangilanish jarayonida yordam olish uchun Dell texnik qo‘llab-quvvatlash markaziga murojaat qilib, DSA-2025-375 raqamli rasmiy tavsiyadan foydalanishlari mumkin.
Himoyalanish bo‘yicha qo‘shimcha tavsiyalar
- Tizimni zudlik bilan yangilang – Data Lakehouse 1.6.0.0 yoki undan yangi versiyani o‘rnating.
- Administrator huquqlarini cheklang – “eng kam imtiyoz” siyosatini (least privilege principle) qo‘llang.
- Tarmoq kirishlarini cheklang – Data Lakehouse’ni faqat ishonchli IP manzillar bilan chegaralang.
- Kuzatuvni kuchaytiring – tizim loglarini, foydalanuvchi faoliyatini va g‘ayrioddiy trafikni muntazam nazorat qiling.
- Zaxira nusxalarni yarating – tizimni qayta tiklash imkoniyatini saqlab turish uchun ma’lumotlarni muntazam zaxiralang.
CVE-2025-46608 — bu Dell Data Lakehouse platformasi uchun jiddiy tahdid bo‘lib, u nafaqat foydalanuvchi ma’lumotlarini, balki butun tizimning ishonchliligini xavf ostiga qo‘yadi. Masofaviy hujumchi tizim ustidan to‘liq nazorat o‘rnatishi mumkinligi sababli, yangilanishni kechiktirmaslik muhim ahamiyatga ega.
Axborot xavfsizligi bo‘yicha mutaxassislar ushbu hodisani kritik darajadagi zaiflik sifatida baholamoqda va barcha Dell Data Lakehouse foydalanuvchilariga tezkor choralar ko‘rishni tavsiya etmoqda.
