Oracle’ning «Agile PLM» frameworkida yuqori darajali zaiflik aniqlandi
Oracle, Agile Product Lifecycle Management (PLM) Framework dasturida aniqlangan tanqidiy zaiflik haqida tezkor xavfsizlik ogohlantirishini e’lon qildi. Ushbu zaiflik hozirda haqiqiy hujumlar orqali ekspluatatsiya qilinmoqda.
Zaiflik CVE-2024-21287 identifikatori bilan ro’yxatga olingan va hujumchilarga autentifikatsiyani o‘tkazmasdan tizimlarga kirish imkoniyatini beradi. Ushbu yuqori darajali zaiflik Oracle Agile PLM Framework 9.3.6 versiyasi bilan bog’liq bo‘lib, ayniqsa Software Development Kit (SDK) va Process Extension komponentlarida aniqlangan.
Zaiflik CVSS asosiy balni 7.5 olish bilan yuqori xavfli sifatida baholangan va HTTP yoki HTTPS protokollari orqali masofaviy ravishda ekspluatatsiya qilinishi mumkin. Agar muvaffaqiyatli ekspluatatsiya qilinsa, hujumchi tizimdagi muhim ma’lumotlarga ruxsatsiz kirish yoki PLM Frameworkga kirish imkoniyatiga ega bo’lishi mumkin.
Ushbu zaiflik faylni ochib tashlashga olib kelishi mumkin, bu esa hujumchilarga PLM dasturi tomonidan mavjud bo‘lgan huquqlar asosida fayllarni yuklab olish imkoniyatini beradi. Bu esa biznes operatsiyalari uchun muhim ma’lumotlar va ichki hujjatlarning oshkor bo’lishiga olib kelishi mumkin.
Hozirgi vaqtda ekspluatatsiya qilinayotgan hujumlarning aniq tafsilotlari noma’lum bo’lsada, Oracle ushbu zaiflikning faol ravishda ekspluatatsiya qilinayotganini tasdiqladi.
Oracle CVE-2024-21287 zaifligini bartaraf etish uchun xavfsizlik yamanini chiqarib, mijozlarga bu yangilanishni imkon qadar tezroq o‘rnatishni tavsiya etdi.
Zararlangan tashkilotlarga quyidagi tavsiyalar beriladi:
- Xavfsizlik Yamalarini O‘rnatish: Oracle tomonidan taqdim etilgan eng so‘nggi xavfsizlik yamanini darhol o‘rnatish.
- Tizim Loglarini Tekshirish: Hujumchi tizimga ruxsatsiz kirish yoki fayllarni yuklab olishni ko’rsatadigan belgilarga qarshi tizim loglarini ko’rib chiqish.
- Shubhali Faoliyatni Kuzatish: Agile PLM Framework bilan bog’liq shubhali yoki g‘alati faoliyatni diqqat bilan kuzatib borish.
Ushbu holat tashkilotlar uchun yangilanishlarni vaqtida o‘rnatishning naqadar muhimligini ko‘rsatadi, ayniqsa biznes ilovalarida xavfsizlikka e’tibor qaratish zarur. Hujumchilar keng tarqalgan biznes ilovalaridagi zaifliklarni ekspluatatsiya qilishga harakat qilmoqda, shuning uchun xavfsizlik ogohlantirishlariga tezda javob berish, ma’lumotlarni yo’qotish yoki ruxsatsiz kirishni oldini olishda juda muhimdir.
Oracle kompaniyasi vaziyatning jiddiyligini ta’kidlab, mijozlarga CVE-2024-21287 zero-day zaifligi bilan bog’liq xavfni kamaytirish uchun xavfsizlik yangilanishlarini iloji boricha tezroq o‘rnatishni tavsiya qilmoqda. Agile PLM Frameworkdan foydalanuvchi tashkilotlar tizimlarini himoya qilish va muhim ma’lumotlarni ekspluatatsiyalashdan saqlash uchun tezda harakat qilishlari kerak.
Ushbu voqea biznes ilovalaridagi xavfsizlikni ta’minlashning doimiy qiyinchiliklarini va zaifliklarni aniqlashda samarali yangilanishlarni amalga oshirishning muhimligini yana bir bor eslatadi.