Forcepoint DLP’da kritik zaiflik: himoya mexanizmlari chetlab o‘tilmoqda

Korporativ muhitda ma’lumotlar sizib chiqishining oldini olish (DLP — Data Loss Prevention) tizimlari eng muhim himoya qatlamlaridan biri hisoblanadi. Aynan shu sababli ushbu tizimlardagi har qanday zaiflik nafaqat texnik muammo, balki butun axborot xavfsizligi strategiyasiga jiddiy zarba bo‘lishi mumkin. Yaqinda aniqlangan Forcepoint One DLP Client’dagi kritik zaiflik aynan shunday xavfli holatlardan biridir.

Mazkur zaiflik CVE-2025-14026 identifikatori bilan qayd etilgan bo‘lib, u hujumchilarga ishlab chiquvchi tomonidan ataylab cheklangan Python muhitini chetlab o‘tib, ixtiyoriy kod bajarish, xotirani boshqarish va DLL’larni ishga tushirish imkonini beradi.

Zaiflikning texnik ildizi

Forcepoint One DLP Client’ning 23.04.5642 versiyasi (va ehtimol undan keyingi ayrim relizlar) ichida Python 2.5.4 asosidagi maxsus cheklangan runtime mavjud bo‘lgan. Ushbu muhitdan ctypes kutubxonasi ataylab olib tashlangan bo‘lib, bu qaror:

  • DLL’larni chaqirishni;
  • xotira bilan bevosita ishlashni;
  • zararli shellcode bajarilishini

oldini olishga qaratilgan edi.

Ammo xavfsizlik tadqiqotchisi Keith Lee ushbu himoya mexanizmini to‘liq chetlab o‘tish mumkinligini amaliy tarzda isbotladi.

Himoyani chetlab o‘tish mexanizmi

Tadqiqotlarga ko‘ra, hujumchi quyidagi amallarni bajarishi orqali cheklovni bekor qilishi mumkin:

  1. Boshqa tizimdan ctypes.pyd modulining mos kompilyatsiya qilingan nusxasini ko‘chirish;
  2. Modul sarlavhasidagi versiya ma’lumotlarini Python 2.5.4 bilan mos keladigan qilib patchlash;
  3. Ushbu faylni Python qidiruv yo‘liga joylashtirish.

Natijada, avval cheklangan Python muhiti ctypes’ni muvaffaqiyatli yuklaydi va hujumchi:

  • DLL funksiyalarini to‘g‘ridan-to‘g‘ri chaqirishi;
  • xotirani o‘zgartirishi;
  • ixtiyoriy shellcode yoki DLL-based payload’larni ishga tushirishi mumkin bo‘ladi.

Xavf darajasi va mumkin bo‘lgan oqibatlar

Mazkur zaiflik ayniqsa xavfli, chunki u DLP klientining o‘zida ekspluatatsiya qilinadi. Bu esa quyidagi jiddiy oqibatlarga olib kelishi mumkin:

  • DLP siyosatlarini chetlab o‘tish yoki o‘chirish;
  • Ma’lumotlar oqimini nazorat qilish mexanizmlarini izdan chiqarish;
  • Xavfsizlik monitoringini yashirin ravishda to‘xtatish;
  • DLP agentini hujumchi nazoratidagi komponentga aylantirish.

Boshqacha aytganda, himoya vositasining o‘zi zaiflik sababli hujum vektoriga aylanadi. Bu esa korporativ endpoint’larda umumiy xavfsizlik darajasini keskin pasaytiradi.

Ta’sirlangan mahsulotlar

  • Mahsulot: Forcepoint One DLP Client
  • Zaif versiya: 23.04.5642 (va ehtimol keyingi ayrim versiyalar)
  • Zaiflik turi: Security Restriction Bypass / Arbitrary Code Execution
  • Hujum vektori: Lokal (ctypes.pyd patch orqali)

Tuzatishlar va rasmiy choralar

Forcepoint kompaniyasi zaiflikni tan oldi va rasmiy bayonot berdi. Kompaniya ma’lumotiga ko‘ra:

  • Forcepoint DLP v10.2 tarkibidagi
  • Forcepoint One Endpoint 23.11 versiyasidan boshlab
  • zaif python.exe runtime to‘liq olib tashlangan.

Shuningdek, CERT/CC tashkiloti barcha tashkilotlarga:

  • darhol yangilanishlarni o‘rnatishni;
  • python.exe mavjud bo‘lgan endpoint versiyalaridan voz kechishni;
  • barcha korporativ qurilmalarda patch’larni majburiy joriy etishni

qat’iy tavsiya qilmoqda.

CVE-2025-14026 zaifligi muhim haqiqatni yana bir bor ko‘rsatdi: hatto xavfsizlikni ta’minlash uchun mo‘ljallangan dasturlar ham muntazam audit va yangilanishsiz jiddiy tahdidga aylanishi mumkin. Cheklangan Python muhiti singari “ishonchli” mexanizmlar ham yetarli darajada mustahkam bo‘lmasa, tajribali hujumchilar tomonidan osonlik bilan chetlab o‘tiladi.

Shu bois, Forcepoint DLP’dan foydalanayotgan tashkilotlar uchun eng to‘g‘ri yo‘l — tezkor yangilanish, endpoint’larni qat’iy nazorat qilish va qatlamli himoya yondashuvini qo‘llashdir. Aks holda, ma’lumotlarni himoya qilishi kerak bo‘lgan agent, aksincha, eng zaif nuqtaga aylanishi mumkin.