Denodo Scheduler’da aniqlangan zaiflik: hujumchilarga masofadan kod bajarish imkonini bermoqda

Kiberxavfsizlik mutaxassislari tomonidan Denodo Scheduler dasturiy ta’minotida jiddiy zaiflik aniqlandi. Mazkur zaiflik CVE-2025-26147 raqami ostida ro‘yxatga olingan bo‘lib, u hujumchilarga ta’sirlangan tizimda masofaviy kod bajarish (Remote Code Execution — RCE) imkonini yaratadi.

⚙️ Zaiflik mohiyati: Fayl yo‘li bo‘yicha (path traversal) ekspluatatsiya

Bu zaiflik Denodo Scheduler 8.0.202309140 versiyasida mavjud bo‘lib, Kerberos autentifikatsiyasi uchun mo‘ljallangan sozlamalar orqali amalga oshiriladi. Aynan keytab fayl yuklash mexanizmi orqali foydalanuvchi tomonidan yuborilayotgan fayl nomi to‘liq tekshirilmaydi.

Hujumchi fayl nomini manipulyatsiya qilib, masalan:

iniКопироватьРедактироватьfilename="../../../../opt/denodo/malicious.file.txt"

ko‘rinishida yuboradi va natijada tizimdagi istalgan katalogga faylni joylashtirishi mumkin bo‘ladi.

Garchi tizim fayl nomiga timestamp qo‘shsa ham (malicious.file-1711156561716.txt), bu qiymat HTTP javobi orqali qaytariladi, ya’ni hujumchiga fayl joylashgan nom va manzilni aniqlash osonlashadi.

🧠 JSP WebShell orqali to‘liq boshqaruv

Ushbu zaiflik, ayniqsa, Apache Tomcat muhitida ishlayotgan Denodo tizimlarida xavfli hisoblanadi. Tadqiqotchilar aniqlashicha, /webapps/ROOT/ katalogi ichiga JavaServer Pages (JSP) formatidagi web shell joylashtirilsa, hujumchi brauzer orqali tizim buyruqlarini masofadan bajarishi mumkin.

Oddiy JSP shell namunasi orqali hujumchi:

http://targetserver/malicious.jsp?cmd=whoami

ko‘rinishida so‘rov yuboradi va javobda tizimdagi foydalanuvchi haqida ma’lumot oladi. Shuningdek, istalgan buyruqlarni bajarish orqali serverni to‘liq nazoratga oladi.

Xavf darajasi

Ko‘rsatkichMa’lumot
Ta’sirlangan mahsulotDenodo Scheduler (v8.0.202309140)
Xavf turiRemote Code Execution (RCE)
Talab qilinadigan shartlarKerberos konfiguratsiyasi huquqi, fayl yuklash imkoniyati
CVSS 3.1 reytingi8.8 (Yuqori daraja)

Rhino Security Labs kompaniyasi ushbu zaiflikni 2024-yil 9-aprel kuni aniqlagan va Denodo’ga xabar bergan. Denodo kompaniyasi tezkorlik bilan harakat qilgan va 2024-yil 23-aprel kuni muammoni bartaraf etuvchi 8.0.20240307 yangilanishini chiqargan.

🔐 Tavsiyalar:

  • Denodo Scheduler 8.0.202309140 va undan oldingi versiyalarni zudlik bilan 8.0.20240307 versiyasiga yangilang.
  • Fayl yuklash bilan bog‘liq funksiyalarni auditdan o‘tkazing.
  • Apache Tomcat kataloglariga yozish huquqlarini cheklang.
  • Web shell joylashuvini tekshiring: /webapps/ROOT/ katalogidagi kutilmagan JSP fayllar xavf belgisi bo‘lishi mumkin.

Oddiygina fayl nomini tekshirishdagi e’tiborsizlik — bu kabi yirik zaifliklarga sabab bo‘lishi mumkin. Denodo Scheduler’dagi mazkur zaiflik o‘z vaqtida yangilanmasa, tashkilotning butun ma’lumotlar integratsiyasi infratuzilmasi tahdid ostida qoladi.

📣 Tashkilotlar denodo asosidagi serverlarini xavfsizlik auditi va yangilanishlar bilan ta’minlashi zarur. Fayl yuklash bo‘yicha kodlar alohida nazorat ostida bo‘lishi shart, aks holda zaifliklar juda tezda ekspluatatsiya qilinishi mumkin.