Oracle PeopleSoft platformasida kritik zaiflik aniqlandi: tizimlar zudlik bilan yangilanishi tavsiya etiladi!

Oracle kompaniyasi PeopleSoft Enterprise PeopleTools platformasida aniqlangan o‘ta xavfli zaiflikni bartaraf etish maqsadida favqulodda xavfsizlik yangilanishini (Security Alert) e’lon qildi. CVE-2026-35273 identifikatori bilan qayd etilgan mazkur zaiflik masofadan turib ixtiyoriy kodlarni bajarish (Remote Code Execution – RCE) imkoniyatini yaratishi bilan alohida xavf tug‘dirmoqda.

Zaiflikning CVSS v3.1 baholash tizimidagi ko‘rsatkichi 9,8 ballni tashkil etadi. Ushbu ko‘rsatkich mazkur kamchilikning kritik darajadagi tahdid ekanligini va uni bartaraf etish choralarini kechiktirmasdan amalga oshirish zarurligini anglatadi.

Zaiflikning asosiy xavfi nimada?

Mutaxassislarning ma’lumotlariga ko‘ra, zaiflik PeopleSoft Enterprise PeopleTools dasturiy majmuasining Updates Environment Management komponentida aniqlangan. Eng xavfli jihati shundaki, undan foydalanish uchun hujumchidan tizimga autentifikatsiyadan o‘tish yoki foydalanuvchi bilan o‘zaro aloqaga kirish talab etilmaydi.

Boshqacha aytganda, internet tarmog‘iga ochiq holda ishlayotgan zaif PeopleSoft tizimi hujumchilar tomonidan masofadan turib nishonga olinishi mumkin. Muvaffaqiyatli ekspluatatsiya qilingan taqdirda esa hujumchi serverda ixtiyoriy buyruqlarni bajarish, zararli dasturlarni joylashtirish yoki butun tizim ustidan nazoratni qo‘lga kiritish imkoniyatiga ega bo‘ladi.

Kiberxavfsizlik amaliyotida aynan autentifikatsiyasiz RCE zaifliklari eng xavfli toifadagi kamchiliklardan biri hisoblanadi. Chunki bunday zaifliklardan foydalanish uchun foydalanuvchi tomonidan qo‘shimcha harakatlar talab etilmaydi va hujum masofadan turib amalga oshirilishi mumkin.

Qaysi tizimlar xavf ostida?

Oracle tomonidan e’lon qilingan ma’lumotlarga ko‘ra, zaiflik quyidagi versiyalarga ta’sir ko‘rsatadi:

  • PeopleSoft Enterprise PeopleTools 8.61;
  • PeopleSoft Enterprise PeopleTools 8.62.

Shuningdek, Oracle rasmiy ravishda sinovdan o‘tkazilmagan bo‘lsa-da, avvalgi yoki qo‘llab-quvvatlash muddati yakunlangan versiyalar ham ushbu zaiflikdan ta’sirlangan bo‘lishi mumkinligi haqida ogohlantirgan.

Bu esa eski versiyalarda ishlayotgan tashkilotlar uchun qo‘shimcha xavf tug‘diradi. Chunki Oracle xavfsizlik yangilanishlarini faqat Premier Support yoki Extended Support dasturlari doirasida qo‘llab-quvvatlanayotgan versiyalar uchun taqdim etadi.

Natijada eskirgan platformalardan foydalanayotgan tashkilotlar nafaqat mavjud zaifliklarga duch keladi, balki yangi xavfsizlik yangilanishlaridan ham foydalana olmaydi.

Hujum oqibatlari qanday bo‘lishi mumkin?

Mazkur zaiflik muvaffaqiyatli ekspluatatsiya qilingan taqdirda hujumchilar quyidagi imkoniyatlarga ega bo‘lishi mumkin:

  • tizimda masofadan turib zararli kodlarni ishga tushirish;
  • maxfiy korporativ ma’lumotlarni qo‘lga kiritish;
  • foydalanuvchi hisoblari va tizim konfiguratsiyalarini o‘zgartirish;
  • zararli dasturlar yoki orqa eshik (Backdoor) komponentlarini joylashtirish;
  • tashkilot ichki tarmog‘iga chuqurroq kirib borish va boshqa tizimlarga hujum uyushtirish;
  • xizmatlar faoliyatini izdan chiqarish yoki to‘xtatib qo‘yish.

Ayniqsa, PeopleSoft platformasi ko‘plab tashkilotlarda inson resurslarini boshqarish (HR), moliyaviy operatsiyalar, ish haqi hisob-kitoblari, xaridlar va boshqa muhim biznes jarayonlarini boshqarishda foydalanilishini hisobga olsak, bunday hujumlar jiddiy moliyaviy va operatsion yo‘qotishlarga olib kelishi mumkin.

Zaiflik qanday aniqlangan?

Mazkur zaiflik Trend Micro kompaniyasining Zero Day Initiative (ZDI) dasturi tadqiqotchilari tomonidan aniqlangan. Xususan, Bobby Gould, Lucas Miller va Minh Giang tomonidan olib borilgan tadqiqotlar natijasida zaiflik Oracle’ga ma’lum qilingan.

Tadqiqotchilarning ta’kidlashicha, ushbu zaiflikni ekspluatatsiya qilish murakkabligi past darajada bo‘lib, bu holat kiberjinoyatchilar tomonidan amaliy hujumlar uyushtirilishi ehtimolini yanada oshiradi.

Amaliyot shuni ko‘rsatadiki, internet tarmog‘iga ochiq bo‘lgan korporativ tizimlarda aniqlangan bunday zaifliklar odatda juda qisqa vaqt ichida ommaviy skanerlash vositalari va avtomatlashtirilgan eksploitlar orqali faol ekspluatatsiya qilina boshlaydi.

Tashkilotlarga tavsiyalar

Mazkur tahdidni inobatga olgan holda Oracle hamda axborot xavfsizligi mutaxassislari quyidagi choralarni ko‘rishni tavsiya etadi:

  • Oracle tomonidan taqdim etilgan xavfsizlik yangilanishlarini zudlik bilan o‘rnatish;
  • PeopleSoft serverlarining internet tarmog‘idan to‘g‘ridan-to‘g‘ri foydalanish imkoniyatlarini cheklash;
  • Tizim jurnallari (loglar) va xavfsizlik hodisalarini doimiy monitoring qilish;
  • Tarmoq segmentatsiyasini joriy etish va muhim tizimlarni alohida himoyalangan zonalarda joylashtirish;
  • Web Application Firewall (WAF) va boshqa himoya vositalaridan foydalanish;
  • Eskirgan hamda qo‘llab-quvvatlash muddati yakunlangan versiyalarni yangilash;
  • Zaxira nusxalarini muntazam yaratish va ularning tiklanish qobiliyatini tekshirib borish.

CVE-2026-35273 zaifligi Oracle PeopleSoft platformasida so‘nggi davrda aniqlangan eng xavfli zaifliklardan biri hisoblanadi. Autentifikatsiyasiz masofadan turib kod bajarish imkoniyati mavjudligi, ekspluatatsiya murakkabligining pastligi va tizim ustidan to‘liq nazoratni qo‘lga kiritish ehtimoli ushbu zaiflikka alohida e’tibor qaratishni talab etadi.

PeopleSoft platformasidan foydalanayotgan barcha tashkilotlar mazkur xavfsizlik yangilanishlarini ustuvor tartibda joriy etishi, tizimlarini qo‘shimcha ravishda monitoring qilishi hamda internet tarmog‘iga ochiq servislarni qayta ko‘rib chiqishi lozim. Aks holda, ushbu zaiflikdan foydalanilgan holda amalga oshiriladigan kiberhujumlar tashkilotlarning biznes jarayonlari, moliyaviy ma’lumotlari va axborot infratuzilmasiga jiddiy zarar yetkazishi mumkin.