FortiOS’dagi yashirin xavf: CISA ogohlantiradi, zaiflik faol hujumlar uchun ishlatilmoqda

Kiberxavfsizlik sohasida har bir zaiflik — bu tizimdagi himoyasiz nuqta. Ba’zan bu nuqta e’tibordan chetda qoladi va kiberjinoyatchilar shu orqali ichkariga osonlikcha kirib olishadi. Bugungi kunda Fortinet FortiOS tizimida aniqlangan CVE-2019-6693 nomli zaiflik aynan shunday tahdidga aylandi. Bu muammo real hayotdagi hujumlarda faol foydalanilayotganligi sababli, AQSh Kibertahdidlar xavfsizligi agentligi — CISA tomonidan rasmiy ogohlantirish berildi.

2025-yil 25-iyun kuni CISA ushbu zaiflikni o‘zining «Ma’lum ekspluatatsiya qilinayotgan zaifliklar ro‘yxati» (KEV) ga qo‘shdi. Bu degani, zaiflik hozirda haqiqiy hujumchilarning quroliga aylangan va uni bartaraf etish shoshilinch choralarni talab etadi.

CVE-2019-6693 zaifligi Fortinet FortiOS tizimida qattiq o‘rnatilgan (hard-coded) shifrlash kalitlari bilan bog‘liq. Ya’ni, FortiOS’dagi konfiguratsiya zaxira fayllari bir xil va o‘zgartirib bo‘lmaydigan maxfiy kalitlar bilan shifrlangan. Bu esa ularni qo‘lga kiritgan hujumchiga osonlik bilan ma’lumotlarni ochish imkonini beradi.

Bu zaiflik dastur ichida o‘zgartirib bo‘lmaydigan shifrlash kalitlarining mavjudligi (CWE-798) bilan bog‘liq. Har bir FortiOS tizimida aynan bir xil kalitlardan foydalanilganligi sababli, tahdidlar:

🧩 Tarmoq sozlamalarini ochib ko‘rishi,
🔐 Foydalanuvchi login-parollarini bilib olishi,
🧾 Zaxira fayllaridagi maxfiy konfiguratsiyani dekodlash imkoniga ega bo‘lishi mumkin.

Bu zaiflik orqali nafaqat axborot maxfiyligi, balki butun tarmoq xavfsizligi yo‘qqa chiqishi mumkin.

CISA barcha Fortinet FortiOS foydalanuvchilariga quyidagilarni majburiy tarzda tavsiya qilmoqda:

📌 Fortinet tomonidan chiqarilgan rasmiy xavfsizlik yangilanishlarini (patchlarni) o‘rnatish;
📌 FG-IR-19-007 xavfsizlik tavsiyanomasi bilan tanishib chiqish;
📌 Zarur chora ko‘rilmasa — ta’sirlangan qurilmalardan foydalanishni to‘xtatish.

Mazkur talablar BOD 22-01 federal yo‘riqnomasi doirasida belgilanib, barcha davlat muassasalari va muhim infratuzilma subyektlariga taalluqlidir.

Zaiflikdan foydalanish shartlari qanday?

🔓 Zaxira fayllarga kirish imkoniga ega bo‘lish;
🔐 Qattiq o‘rnatilgan (hard-coded) shifrlash kalitini bilish;
🧠 Ushbu kalit orqali shifrlangan fayllarni ochish imkoniga ega bo‘lish.

Bu shartlar bugungi tahdidlar olamida unchalik murakkab emas — shuning uchun bu zaiflik real xavfga aylangan.

Fortinet FortiOS tizimidagi ushbu muammo — zamonaviy tarmoqlar uchun ogohlantiruvchi signal. Har bir tashkilot, har bir tizim administratorining burchi — mavjud zaifliklarga kechikmasdan javob berish va zarur xavfsizlik choralarini ko‘rishdir.

📅 2025-yil 16-iyul — so‘nggi muddat. Bu kungacha hech qanday chora ko‘rilmasa, tizimlar kiberhujumlarga ochiq holda qoladi.

🛡 Shunday ekan, bugun harakat qiling. Yangilang, himoyalaning va tizimingizni tahdidlardan asrang.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

FortiOS’dagi yashirin xavf: CISA ogohlantiradi, zaiflik faol hujumlar uchun ishlatilmoqda

Zaiflikdan foydalanish shartlari qanday?

Zaiflikdan foydalanish shartlari qanday?

12 yillik sir: Sudo’dagi zaiflik orqali root huquqini qo‘lga kiritish mumkin!

⚠️ Wing FTP Server’da aniqlangan juda xavfli zaiflik: xakerlar butun serverni egallab olishlari mumkin

⚠️ Cisco Unified CM’dagi jiddiy zaiflik: Xakerlar masofadan root sifatida tizimga kira olishmoqda