JumpCloud Remote Assist’dagi jiddiy zaiflik: Windows tizimlari qanday xavf ostida qoldi?

Yaqinda JumpCloud Remote Assist for Windows dasturida aniqlangan xavfsizlik kamchiligi ko‘plab tashkilotlar uchun real xavf tug‘dirdi. Ushbu zaiflik orqali oddiy foydalanuvchi huquqlariga ega bo‘lgan shaxs tizim administratoridan ham yuqori – SYSTEM huquqlarini qo‘lga kiritishi yoki butun tizimni ishlamay qolishiga olib kelishi mumkin.

JumpCloud nima va u qayerda ishlatiladi?

JumpCloud — bu bulutga asoslangan identifikatsiya va qurilmalarni boshqarish platformasi bo‘lib, u:

  • xodim kompyuterlarini markazdan boshqarish,
  • xavfsizlik siyosatlarini majburiy qo‘llash,
  • masofadan texnik yordam ko‘rsatish

uchun ishlatiladi. Hozirda dunyo bo‘ylab 180 mingdan ortiq tashkilot ushbu xizmatdan foydalanadi.

Zaiflik haqida qisqacha

  • CVE: CVE-2025-34352
  • Ta’sir qiluvchi dastur: JumpCloud Remote Assist for Windows
  • Xavfli versiyalar: 0.317.0 dan oldingi barcha versiyalar
  • Zaiflik turi:
    • Huquq oshirish (Privilege Escalation)
    • Tizimni ishdan chiqarish (Denial of Service)

Zaiflik XM Cyber tadqiqotchisi Hillel Pinto tomonidan aniqlangan.

Muammo nimada?

Remote Assist agenti NT AUTHORITY\SYSTEM huquqlari bilan ishlaydi. Ammo u dastur o‘chirilayotganda (uninstall jarayonida):

  • foydalanuvchi to‘liq nazorat qila oladigan %TEMP% katalogidan foydalanadi,
  • bu joyda fayllarni tekshiruvsiz o‘chiradi, yozadi va ishga tushiradi.

Bu juda xavfli holat, chunki oddiy foydalanuvchi bu katalog ichidagi fayllarni oldindan tayyorlab qo‘yishi mumkin.

Hujum qanday amalga oshiriladi?

1. Oddiy foydalanuvchi tayyorgarlik ko‘radi

Hujumchi vaqtinchalik katalogda maxsus papka va fayllar yaratadi yoki ularni tizimdagi muhim joylarga bog‘laydi (symlink yoki mount point orqali).

2. JumpCloud agenti o‘chiriladi

Agent o‘chirilganda, Remote Assist uninstaller’i ishga tushadi va:

  • tayyorlab qo‘yilgan fayllarni SYSTEM huquqlari bilan o‘chiradi yoki yozadi,
  • aslida esa bu amallar tizim fayllariga ta’sir qiladi.

3. Natija

Ikki xil xavf yuzaga keladi:

  • Tizim qulaydi (DoS) — Windows ishga tushmay qolishi mumkin
  • SYSTEM huquqlari qo‘lga olinadi — hujumchi to‘liq nazoratga ega bo‘ladi

Nima uchun bu juda xavfli?

Agar hujumchi SYSTEM huquqlarini olsa:

  • antivirus va EDR’larni o‘chirishi,
  • maxfiy ma’lumotlarni o‘g‘irlashi,
  • boshqa kompyuterlarga hujumni davom ettirishi

mumkin. Bu esa butun tashkilot infratuzilmasiga jiddiy zarar yetkazadi.

Kimlar xavf ostida?

Quyidagi holatlar mavjud bo‘lsa, xavf yuqori:

  • JumpCloud Remote Assist 0.317.0 dan past versiyada ishlayotgan bo‘lsa
  • Oddiy foydalanuvchilar kompyuterga kirish huquqiga ega bo‘lsa
  • Endpointlarda nazorat va monitoring sust bo‘lsa

Nima qilish kerak? (Muhim tavsiyalar)

  1. Zudlik bilan yangilang
    JumpCloud Remote Assist’ni 0.317.0 yoki undan yuqori versiyaga o‘tkazing.
  2. Vaqtinchalik kataloglarni cheklang
    %TEMP% katalogida SYSTEM huquqlari bilan bajariladigan amallarni kamaytiring.
  3. Agent o‘chirilishini kuzating
    JumpCloud agenti uninstall qilinishi — xavf belgisi bo‘lishi mumkin.
  4. Endpoint xavfsizligini kuchaytiring
    EDR/XDR yechimlari orqali:
    • symlink,
    • mount point,
    • shubhali fayl operatsiyalarini aniqlang.

Ushbu hodisa shuni ko‘rsatadiki, hatto ishonchli va keng tarqalgan xavfsizlik platformalari ham noto‘g‘ri fayl ishlovi sabab katta xavf manbaiga aylanishi mumkin. Ayniqsa, SYSTEM huquqlarida ishlaydigan dasturlar har doim alohida nazorat talab qiladi.

Tashkilotlar yangilanishlarni kechiktirmasligi, endpoint xavfsizligini doimiy ravishda tekshirishi va oddiy xatolar jiddiy oqibatlarga olib kelishini unutmasligi zarur.