ISPConfig 3.2.12p1’da xavfli zaiflik: Superadminga aylanish va PHP kod inyeksiyasi xavfi mavjud

🔍 ISPConfig — ochiq kodli va ommaviy veb-xosting boshqaruv paneli — so‘nggi versiyalaridan birida aniqlangan xavfsizlik zaifliklari orqali autentifikatsiyadan o‘tgan foydalanuvchilar o‘z huquqlarini oshirib, superadmin maqomini qo‘lga kiritishi va tizimga zarar yetkazuvchi PHP kodlarini joylashtirishi mumkinligi fosh etildi.

Mazkur zaifliklar SSD Secure Disclosure platformasi orqali mustaqil xavfsizlik tadqiqotchilari tomonidan aniqlangan bo‘lib, ayniqsa ISPConfig 3.2.12p1 versiyasi bu tahdidga eng zaif nishon sifatida ko‘rsatilmoqda.

Birinchi zaiflik: Rol tekshiruvining noto‘g‘ri ishlashi orqali huquq oshirish

Zaiflikning ildizi — foydalanuvchi yaratish va tahrirlashdagi mantiqiy xatoliklarga borib taqaladi. Xususan, client_add metodida foydalanuvchi yaratish jarayonida rol aniqlash yetarli darajada himoyalanmagan.

ISPConfig tizimi typ[] massivining faqat birinchi elementini tekshiradi, bu esa xavfsizlik nazoratidan o‘tmay qolgan muhim nuqtadir. Tajovuzkorlar quyidagi soxta so‘rov orqali tekshiruvni chetlab o‘tishi mumkin:

typ=&typ[1]=admin

Bu aralashuv orqali oddiy “Client Functions” huquqiga ega foydalanuvchi “admin” moduli bilan yangi foydalanuvchini yaratishi mumkin. So‘ngra ushbu yangi hisob orqali yana shu ekspluatatsiyani qo‘llab, ID=1 bo‘lgan superadmin hisobini o‘zgartirish yo‘li bilan butun tizim ustidan nazoratni qo‘lga kiritadi.

💣 Ikkinchi zaiflik: Language Editor orqali PHP kod injektsiyasi

Tajovuzkor superadmin maqomini qo‘lga kiritgach, System > Language Editor > Languages menyusi orqali tarjima fayllarini tahrirlab, tizimga zararli PHP kodini joylashtirishi mumkin.

Tarjima fayllari .lng kengaytmaga ega bo‘lib, ularning ichida PHP asosidagi associative array’lar mavjud. Bu fayllar bevosita dasturning o‘zida include() orqali yuklanadi, ya’ni zararli kod darhol ishlovga tushadi.

Ushbu zaiflikning asosiy sababi noto‘g‘ri tuzilgan regex andozasi bo‘lib, u quyidagicha ifodalanadi:

/(^|[^\\$])((\\\$*)”/”

Bu andoza ketma-ket kelgan bir nechta qo‘shtirnoq belgilarini to‘g‘ri tahlil qila olmaydi. Masalan, Evil_Str””ing satrida faqat birinchi qo‘shtirnoq qamrab olinadi, qolganlari esa filtrlardan o‘tib ketadi. Bu holat PHP code injection imkonini yaratadi.

ISPConfig pozitsiyasi va tadqiqotchilar fikri

ISPConfig ishlab chiquvchilari ushbu zaifliklar xavf darajasini past deb baholagan. Ularning fikricha, ekspluatatsiya uchun avvaldan ma’lum huquqlar talab etiladi.

Ammo xavfsizlik tadqiqotchilari bu fikrni rad etadi — ular oddiy admin huquqi bilan ham to‘liq ekspluatatsiyani amalga oshirish mumkinligini amaliy isbot bilan ko‘rsatib berdi.

ISPConfig ko‘plab korporativ hosting infratuzilmalarida keng qo‘llaniladi. Bu holatda «admin» huquqi ko‘p foydalanuvchiga berilgan bo‘lishi mumkin. Shunday ekan, multi-tenant hosting muhitlarida bu zaifliklar kuchli xavfsizlik tahdidi sifatida qaraladi.

🔐 Quyidagi xavfsizlik choralarini ko‘rish orqali tahdidlarni kamaytirishingiz mumkin:

Rasmiy patch chiqishi bilan darhol yangilang: ISPConfig tomonidan chiqarilgan yangilanishlar xavfsizlik teshiklarini yopadi.

Foydalanuvchilar huquqlarini qayta ko‘rib chiqing: ayniqsa kimda “Client Functions” yoki “admin module access” huquqlari borligini tekshirib chiqing.

Superadmin (ID=1) hisobini monitoring qiling: bu hisobda kutilmagan o‘zgarishlar mavjudmi — aniqlang.

Language fayllarini tekshiring: PHP kod injektsiyasi sodir bo‘lmaganligiga ishonch hosil qiling.

Qo‘shimcha xavfsizlik choralari joriy eting: WAF (Web Application Firewall), 2FA (ikki bosqichli autentifikatsiya), so‘rovlar logini kuzatish.

Superadmin maqomini ekspluatatsiya qilish + PHP kod inyeksiyasi — bu ikki bosqichli hujum zanjiri orqali ISPConfig tizimi ustidan to‘liq nazorat o‘rnatilishi mumkin. Bu esa har qanday veb-xosting muhitida halokatli oqibatlarga olib keladi.

Zamonaviy kiberxavflar fonida bu kabi zaifliklarga e’tiborsizlik — xizmat uzilishlari, ma’lumotlar yo‘qolishi, va obro‘ga putur yetishi bilan yakunlanishi mumkin. Shuning uchun ISPConfig foydalanuvchilari imkon qadar tezroq xavfsizlik choralarini ko‘rishi zarur.

🛡 Cyber tahdidlardan xabardor bo‘ling! So‘nggi kiberxavfsizlik yangiliklari, ogohlantirishlar va tavsiyalarni birinchi bo‘lib olishni istaysizmi? Unda UZCERT’ning rasmiy Telegram kanaliga a’zo bo‘ling:
👉 https://t.me/uzcert_live

Bu yerda faqat ishonchli manbalar, amaliy tavsiyalar va real kiberxavflar haqida ogohlantirishlar beriladi!