Oracle VM VirtualBox’da aniqlangan jiddiy zaifliklar: virtual muhitni to‘liq egallash xavfi
2025-yil 22-oktabr kuni Oracle kompaniyasi o‘zining mashhur virtualizatsiya platformasi — Oracle VM VirtualBox dasturida bir nechta kritik darajadagi xavfsizlik zaifliklarini aniqlaganini e’lon qildi. Bu zaifliklar orqali tajovuzkorlar tizimga bevosita kirish huquqiga ega foydalanuvchi VirtualBox muhiti ustidan to‘liq nazorat o‘rnatish imkoniga ega bo‘lishlari mumkin.
Mazkur kamchiliklar 2025-yil oktabr oylik Critical Patch Update (CPU) doirasida tuzatildi va ular asosan VirtualBox 7.1.12 hamda 7.2.2 versiyalarining Core (yadro) komponentiga ta’sir qiladi. Oracle mutaxassislarining ta’kidlashicha, ushbu zaifliklar orqali xakerlar tizimning maxfiylik, yaxlitlik va mavjudlik tamoyillarini buzib, virtual mashinalarni butunlay egallab olishlari mumkin.
Zaifliklarning mohiyati
Oktabr oyidagi yangilanishda to‘qqizta CVE (Common Vulnerabilities and Exposures) aniqlangan bo‘lib, ularning barchasi lokal ekspluatatsiya (ya’ni foydalanuvchi tizimga kirish imkoniga ega bo‘lishi kerak) sharoitida ishlaydi. Shunga qaramay, bu zaifliklarning xavfliligi shundaki — ular virtual muhit chegaralarini buzib, host (asosiy tizim) darajasiga o‘tib ketish imkonini beradi.
Eng xavfli zaifliklar quyidagilar:
- CVE-2025-62587 — CVE-2025-62590,
- CVE-2025-62641
Bu zaifliklar 8.2 CVSS balli bilan baholanib, yuqori xavf toifasiga kiradi. Ularning ekspluatatsiyasi murakkab emas, ammo natijasi og‘ir: tajovuzkor VirtualBox ichidagi jarayonlarni o‘zgartirib, xavfsizlik chegaralarini kengaytirishi, foydalanuvchi ma’lumotlarini o‘g‘irlashi yoki virtual mashinalarni ishdan chiqarishi mumkin.
Boshqa zaifliklar — CVE-2025-61759, CVE-2025-62591, CVE-2025-62592 — nisbatan pastroq (6.0–6.5 ball) xavfga ega bo‘lsa-da, ular ham maxfiylik buzilishi (data leakage) va avtomatik tizim o‘zgarishlari orqali xavf tug‘diradi.
⚠️ Xavf darajasi va ehtimoliy oqibatlar
Ushbu zaifliklar hozircha ommaviy ekspluatatsiya qilinmagan, ammo ular orqali:
- Tajovuzkorlar VirtualBox muhiti ustidan to‘liq nazorat o‘rnatishi;
- Virtual mashinalardagi maxfiy ma’lumotlarni o‘g‘irlashi;
- Virtualizatsiya tizimi orqali tarmoqqa zararli dasturlar tarqatishi;
- Ransomware yoki keyloggerlar joylashtirishi mumkin.
Korporativ darajada VirtualBox’dan dastur sinovlari, xavfsizlik izolyatsiyasi yoki ishlab chiqish muhiti sifatida foydalanadigan tashkilotlar uchun bu zaifliklar ayniqsa xavfli.
Agar tajovuzkor host tizimga o‘tib oladigan bo‘lsa, u holda tarmoqdagi boshqa serverlar va ish stansiyalarga ham kirish imkoniyatini qo‘lga kiritadi. Bu esa lateral movement deb ataluvchi hujum turiga olib keladi — ya’ni, bitta buzilgan tizim butun tarmoqni xavf ostiga qo‘yadi.
Texnik tahlil
Oracle’ning xavf matritsasiga ko‘ra, barcha aniqlangan CVE’lar quyidagi umumiy belgilarni o‘z ichiga oladi:
| CVE identifikatori | Komponent | Masofadan ekspluatatsiya | CVSS ball | Hujum turi | Xavf darajasi |
|---|---|---|---|---|---|
| CVE-2025-62587 – CVE-2025-62590 | Core | Yo‘q | 8.2 | Lokal | Yuqori |
| CVE-2025-62641 | Core | Yo‘q | 8.2 | Lokal | Yuqori |
| CVE-2025-61759 | Core | Yo‘q | 6.5 | Lokal | O‘rta |
| CVE-2025-62591 – CVE-2025-62592 | Core | Yo‘q | 6.0 | Lokal | O‘rta |
🛡️ Himoya choralari va tavsiyalar
Oracle barcha foydalanuvchilarga oktabr oyidagi Critical Patch Update (CPU) yangilanishlarini darhol o‘rnatishni qat’iy tavsiya qiladi. Ushbu yamalar Oracle’ning rasmiy portalida mavjud.
Qo‘shimcha himoya sifatida quyidagi choralarni amalga oshirish tavsiya etiladi:
- Eng kam imtiyoz prinsipi (least privilege) asosida tizim kirishlarini cheklang;
- Administrator huquqlariga ega foydalanuvchilarni monitoring qilish va faoliyatlarini auditdan o‘tkazing;
- VirtualBox konfiguratsiyalarini qayta ko‘rib chiqing — keraksiz funksiyalarni o‘chirib qo‘ying;
- VirtualBox ishlaydigan serverlarni tarmoqdan izolyatsiya qiling (masalan, VLAN yoki sandbox segmentlarida);
- Agar yangilash imkoniyati yo‘q bo‘lsa, kirish huquqlarini vaqtinchalik cheklang va tizim yaxlitligini muntazam tekshirib boring.
Virtualizatsiya texnologiyalari bugungi IT infratuzilmaning ajralmas qismi bo‘lib, ular xavfsizlik uchun ham imkoniyat, ham xavf manbai hisoblanadi. Oracle VM VirtualBox’dagi yangi aniqlangan zaifliklar shuni ko‘rsatadiki, hatto lokal darajadagi hujumlar ham butun tizimni izdan chiqarishi mumkin.
Shuning uchun tizim administratorlari va ishlab chiquvchilar yangilanishlarni kechiktirmasliklari, virtual muhitlarni doimiy nazoratda saqlashlari va foydalanuvchi huquqlarini qat’iy cheklashlari zarur.
Virtualizatsiya — bu xavfsizlik devori emas, balki to‘g‘ri boshqarilmasa, yangi kirish eshigi bo‘lishi mumkin.
