ModSecurity’dagi zaiflik millionlab veb-serverlarni ishdan chiqarish xavfi ostida qoldirdi
Kiberxavfsizlik olamida jiddiy xavfga sabab bo‘ladigan yangi zaiflik aniqlandi. Mashhur ModSecurity veb-ilova xavfsizlik devori (WAF) dasturining Apache moduli (mod_security2) tarkibida aniqlangan bu xatolik millionlab serverlar uchun xizmatdan chiqib ketish — ya’ni Denial-of-Service (DoS) — holatiga olib kelishi mumkin.
Ushbu zaiflik CVE-2025-47947 identifikatori bilan ro‘yxatga olingan bo‘lib, CVSS bo‘yicha 7.5 ball (yuqori darajadagi xavf) bilan baholangan. Xatolik, ayniqsa sanitiseMatchedBytes deb nomlangan xavfsizlik qoidasi ishlayotgan paytda, JSON formatidagi ma’lumotlar qayta ishlanganda yuzaga chiqadi.
Mazkur muammoni Shveytsariyaning Swiss Post tashkiloti nomidan Simon Studer (Netnea) ilk bor 2025-yil mart oyida xabar qilgan. Ammo muammo ildizini aniqlash va uni takrorlash (reproduce qilish) bir necha oy davom etgan.
Zaiflik shunday ishlaydi: agar foydalanuvchi Content-Type: application/json bo‘lgan soxta so‘rov yuborsa va serverda sanitiseMatchedBytes (yoki sanitiseMatched) harakati mavjud bo‘lsa, ModSecurity har bir JSON elementini alohida tekshiradi va xotiraga yozadi. Masalan, agar yuborilgan JSON faylida 1 000 ta element bo‘lsa, bu harakat natijasida 1 millionga yaqin o‘zgaruvchi xotirada saqlanadi.
Bu jarayon Apache serverida joylashgan APR jadvalining haddan tashqari kengayishiga olib keladi, bu esa tizim xotirasini tezda tugatib qo‘yadi va natijada server ishdan chiqadi.
Tadqiqotchilar quyidagi proof-of-concept (isbotlovchi namuna) kodini taqdim etishdi:
python3 -c "print('[%s]' % ','.join(['1234567890123456'] * 1000))" > payload.json
Keyin esa bu JSON fayl oddiy POST so‘rov orqali serverga yuboriladi. E’tiborli tomoni shundaki, bu hujum uchun atigi bitta so‘rov yetarli — xakerlarga murakkab strategiyalar kerak emas.
Qamrov va xavf darajasi
| Ko‘rsatkich | Tafsilot |
|---|---|
| 🛠 Ta’sir qiluvchi versiyalar | mod_security2 2.0 – 2.9.8 (Apache moduli) |
| 🛡 Ta’sir qilmaydigan versiyalar | libmodsecurity3 (v3.x) |
| ❗️ Xavf darajasi | Xotira tugashi, xizmatdan chiqish (DoS) |
| 🔐 Ekspluatatsiya shartlari | 1) JSON turidagi so‘rov, 2) sanitiseMatchedBytes yoki sanitiseMatched ishlatilgan qoidalar mavjudligi |
| 📈 CVSS bahosi | 7.5 (High) |
ModSecurity ishlab chiquvchilari ushbu xatolikni 2.9.9 versiyasida to‘liq bartaraf etishgan. Yangilangan versiya GitHub sahifasi orqali ochiq tarqatilgan va uni barcha tahlikaga uchragan serverlarga imkon qadar tezroq o‘rnatish tavsiya etiladi.
Agar hozirda yangilash imkoniyati bo‘lmasa, quyidagi vaqtinchalik choralar ko‘rilishi mumkin:
sanitiseMatchedBytesqoidalarini o‘chirib qo‘yish — bu xavfni kamaytiradi, biroq monitoring kuchini pasaytiradi.- Audit mexanizmini to‘liq o‘chirib qo‘yish — bu zaiflikni yo‘q qiladi, ammo trafik kuzatuvi va hujjatlashtirish imkoniyatlarini yo‘qqa chiqaradi.
ModSecurity 2.x versiyasidagi ushbu zaiflik butun tizim faoliyatiga xavf soladi. Server administratorlari va xavfsizlik mutaxassislari ushbu xatolikni jiddiy qabul qilib, yangilanishni zudlik bilan amalga oshirishlari lozim.
Kiberxavfsizlik bo‘yicha mutaxassislar bunday holatlarda quyidagi choralarni tavsiya qilishadi:
- Kiruvchi barcha ma’lumotlarni to‘liq tekshiring va tozalang.
- JSON tahlili mexanizmlarini sinchiklab sozlang.
- Xavfsizlik qoidalarini modullashtiring va testdan o‘tkazing.
Kiberxavfsizlikda eng kuchli himoya — vaqtida yangilanish va ongli yondashuv.
