Parallels Desktop dasturida jiddiy zaiflik: hujumchilar root huquqlarini qo‘lga kiritishi mumkin!

Mac kompyuterlarida Windows va boshqa operatsion tizimlarni ishlatish uchun mo‘ljallangan Parallels Desktop virtualizatsiya dasturida jiddiy xavfsizlik zaifligi aniqlandi. CVE-2024-34331 deb nomlangan ushbu yangi (0-Day) zaifligi hujumchilarga macOS tizimida root darajadagi imtiyozlarni egallash imkonini beradi. Eng yomoni, bu zaiflik Parallels Desktopning eng so‘nggi versiyasi – 20.2.1 (55876) da ham mavjud bo‘lib, uni ekspluatatsiya qilish bo‘yicha ishchi ekspluatlar (PoC) allaqachon internetga tarqalgan.

Xavfsizlik tadqiqotchilar zaiflikdan foydalanishning ikki xil usulini namoyish etdi. Bu esa korxona va tashkilotlarni jiddiy xavfsizlik tahdidi ostida qoldirishi mumkin.

Mazkur zaiflik Parallels Desktopning repack_osx_install_app.sh skripti bilan bog‘liq bo‘lib, bu skript prl_disp_service daemon orqali root huquqlari bilan ishlaydi. Zaiflik ikki asosiy yo‘l bilan ekspluatatsiya qilinadi:

1. Time-of-Check to Time-of-Use (TOCTOU) ekspluatatsiyasi

Bu hujumda zaif bo‘lgan skript Apple imzosi tekshirilgandan keyin ishlovchi createinstallmedia faylini almashtirish orqali amalga oshiriladi. Hujumchi vaqtinchalik katalog yaratish jarayonida ushbu faylni o‘zgartirib, zararli kodni root huquqlarida bajarish imkoniyatini qo‘lga kiritadi.

2. DYLIB injeksiya orqali imzo tekshiruvidan chetlab o‘tish

Parallels Desktop createinstallmedia faylining Apple tomonidan imzolanganligini tekshirish uchun codesign -v -R=»anchor apple» buyrug‘idan foydalanadi. Biroq, bu shuni anglatadiki, istalgan Apple imzolagan dastur (masalan, /bin/ls) tasdiqlashdan o‘tishi mumkin. Hujumchilar DYLIB (Dynamic Library) injeksiya usulidan foydalangan holda ushbu xavfsizlik tekshiruvini osongina chetlab o‘tishlari mumkin.

Parallels bu turdagi muammolarni 19.4.1 versiyasida bartaraf etishga urindi. Ushbu versiyada do_repack_manual funksiyasi joriy etilib, 7z siqish texnologiyasidan foydalangan holda o‘rnatish fayllari yaratildi. Biroq, tadqiqotchilar CFBundleDisplayName parametrini buzish orqali yangi yo‘l traversi (path traversal) zaifligini aniqladilar. Bu esa quyidagi ekspluatatsiya imkoniyatlarini yaratdi:

✔ Root huquqlariga ega kataloglarni simvolik bog‘lanishlar orqali o‘zgartirish

✔ 7z siqish dasturini zararli kod bilan almashtirish

✔ Parallels-ning maxsus imtiyozli xizmatlari orqali zararli kodni ishga tushirish

So‘nggi 20.2.1 versiyasida esa kompaniya zaif do_repack_createinstallmedia metodiga qaytdi va natijada CVE-2024-34331 yana ishlatilishi mumkin bo‘lib qoldi.

Mazkur zaiflik Intel protsessoriga ega barcha Mac kompyuterlariga ta’sir qiladi. Apple Silicon (M1, M2, M3) platformalarida esa u ekspluatatsiya qilinmaydi, chunki bu chiplar boshqa virtualizatsiya mexanizmlaridan foydalanadi.

Hujumchilar mazkur ekspluatatsiyadan foydalanib:

✔ Root huquqlarini qo‘lga kiritish

✔ macOS ning TCC (Transparency, Consent, and Control) mexanizmlarini chetlab o‘tish

✔ Ko‘p foydalanuvchili tizimlarda virtual mashinadan chiqib macOS ga hujum qilish imkoniyatiga ega bo‘ladilar.

Hozircha Parallels tomonidan rasmiy yamoq (patch) chiqarilmadi, shuning uchun quyidagi xavfsizlik choralarini ko‘rish tavsiya etiladi:

🔹 SUID ruxsatlarini olib tashlash – Parallels vositalarida root huquqlarini o‘chirish uchun quyidagi buyruqni ishga tushiring:

sudo chmod -s /Applications/Parallels\ Desktop.app/Contents/MacOS/prl_disp_service

🔹 Parallels ishlatilayotgan tarmoqlarni segmentatsiya qilish – Ish stansiyalari va serverlarda faqat zarur interfeyslar orqali ulanishga ruxsat bering. 🔹 Monitor qilish – Tizimda /Library/lpe fayli yoki shunga o‘xshash zararli kodlarni izlash uchun monitoring tizimlaridan foydalaning. 🔹 Alternativ dasturlarni ko‘rib chiqish – Agar Parallels xavfsizlik yamoqlari tezkor chiqarilmasa, VMware Fusion yoki VirtualBox kabi muqobil virtualizatsiya vositalariga o‘tish mumkin.

Parallels Desktop-da aniqlangan CVE-2024-34331 zaifligi Mac foydalanuvchilari uchun jiddiy xavf tug‘diradi. Root darajasidagi huquqlarni qo‘lga kiritish imkoniyati korxona IT infratuzilmasini xavf ostida qoldirishi mumkin.

🔴 Tavsiya: Parallels Desktop’ni ishlatadigan barcha foydalanuvchilar darhol xavfsizlik choralarini ko‘rishlari va rasmiy patch chiqmaguncha ilovadan foydalanish zarurligini qayta ko‘rib chiqishlari lozim!

⚠️ Hujumlar boshlangunga qadar harakat qiling – tizimingizni himoya qiling!

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Parallels Desktop dasturida jiddiy zaiflik: hujumchilar root huquqlarini qo‘lga kiritishi mumkin!

1. Time-of-Check to Time-of-Use (TOCTOU) ekspluatatsiyasi

2. DYLIB injeksiya orqali imzo tekshiruvidan chetlab o‘tish

1. Time-of-Check to Time-of-Use (TOCTOU) ekspluatatsiyasi

2. DYLIB injeksiya orqali imzo tekshiruvidan chetlab o‘tish

PingAM Java Agent zaifligi kiberjinoyatchilar uchun qulay imkoniyat yaratmoqda

Cisco Nexus svitchlarida aniqlangan zaiflik orqali tizimga zararli buyruqlar kiritilishi mumkin

GitLab’da aniqlangan zaifliklar xavfsizlik devorlarini chetlab o‘tish va zararli kod ishga tushirish imkonini beradi