Progress OpenEdge’da jiddiy zaiflik: xakerlar tizimni to‘liq egallashi mumkin

Kiberxavfsizlik mutaxassislari Progress OpenEdge platformasida jiddiy xavfsizlik zaifligi aniqlashdi. Bu tizim ko‘plab korxona va tashkilotlarda tijorat ilovalarni ishlab chiqish va boshqarishda ishlatiladi. Ammo yangi topilgan xato xakerlarga masofadan turib zararli buyruqlarni bajarish (RCE) imkonini berishi mumkin.

Zaiflikning mohiyati

Mazkur xato CVE-2025-7388 sifatida ro‘yxatga olingan bo‘lib, u AdminServer modulidagi Java Remote Method Invocation (RMI) interfeysi bilan bog‘liq. Oddiy foydalanuvchi hisobiga ega bo‘lgan kishi ham workDir parametri orqali zararli kod yuborishi va uni tizim darajasidagi yuqori vakolatlar bilan ishga tushirishi mumkin.

Masalan, Windows serverlarida bu buyruqlar ko‘pincha NT AUTHORITY/SYSTEM huquqlari bilan bajariladi. Natijada, xakerlar butun tizimni egallab olish, ma’lumotlarni o‘chirish, o‘zgartirish yoki maxfiy ma’lumotlarni o‘g‘irlash imkoniyatiga ega bo‘ladi.

Yangilanish va tuzatishlar

Progress kompaniyasi muammoni bartaraf etish uchun OpenEdge LTS 12.2.18 va 12.8.9 versiyalarida tuzatishlarni chiqardi.
Yangi versiyada:

  • workDir parametri himoyalandi – endilikda u orqali buyruq kiritib bo‘lmaydi.
  • Masofaviy RMI funksiyasi sukut bo‘yicha o‘chirildi – bu esa hujum yuz berish ehtimolini kamaytiradi.

Eski versiyalar, jumladan 12.2.17, 12.8.8 va undan avvalgilari xavf ostida qolmoqda.

Vaqtinchalik choralar

Agar yangilanishni darhol o‘rnatish imkoni bo‘lmasa, quyidagilar tavsiya etiladi:

  • AdminServer portiga (20931) faqat ishonchli tarmoqdan ruxsat berish;
  • AdminServer’ni minimal vakolatlar bilan ishga tushirish;
  • Keraksiz plaginlarni olib tashlash.

Biroq bu choralar vaqtinchalik yechim sifatida ko‘riladi. Asosiy himoya chorasining yagona to‘liq yo‘li — yangilangan versiyaga o‘tish.

Progress OpenEdge ko‘plab tashkilotlar uchun muhim platforma hisoblanadi. Shu bois ushbu zaiflikni vaqtida bartaraf etish zarur. Mutaxassislarning fikricha, yangilanishni kechiktirish butun tizim xavfsizligini xavf ostida qoldiradi.