SonicBoom: Avtentifikatsiyani chetlab o‘tib, tizimni egallovchi yangi kiberhujum

So‘nggi kunda xavfsizlik sohasida jiddiy xavotir uyg‘otayotgan yangi kiberhujum zanjiri – SonicBoom – korporativ darajadagi qurilmalarni, xususan, SonicWall Secure Mobile Access (SMA) va Commvault zaxira tizimlarini mo‘ljalga olgan. Ushbu hujumlar masofadan turib administrator darajasidagi nazoratni egallash imkonini beradi va buning uchun hech qanday avvalgi avtorizatsiya talab etilmaydi.

Mutaxassislar bu hujumni ko‘p bosqichli, murakkab ekspluatatsiya zanjiri deb ta’riflashmoqda. U nafaqat avtentifikatsiya zaifliklari, balki server tomonidagi so‘rovlarni soxtalashtirish (SSRF) va ixtiyoriy fayl yozish kabi bir nechta zaifliklardan foydalanadi. Bu esa hujumchilarga to‘liq tizim ustidan nazorat o‘rnatishga imkon beradi.

Hujum qanday ishlaydi? SonicBoom bosqichlari

1. Avtentifikatsiyadan o‘tmasdan tizimga kirish

watchTowr” xavfsizlik tashkiloti xabariga ko‘ra, Commvault kabi tizimlarda authSkipRules.xml fayli orqali 50 dan ortiq HTTP endpointlar avtentifikatsiyasiz ochiq qoldirilgan. Masalan:

  • /deployWebpackage.do
  • /deployServiceCommcell.do

Ushbu interfeyslar orqali hujumchi hech qanday login yoki parol kiritmasdan tizimga murojaat qilishi, xizmatlarni chaqirishi mumkin.

2. SSRF va zararli faylni yozish

Keyingi bosqichda hujumchi POST so‘rovi orqali tizimga maxsus soxta URL’lar yuboradi. Masalan, commcellName va servicePack parametrlariga manipulyatsiya kiritib, qurilmani hujumchining serveridan .zip faylni yuklab olishga majbur qiladi.

Bu ZIP arxiv ichida ko‘pincha zararli .jsp formatidagi web-shell joylashtirilgan bo‘ladi. Tizim uni tekshirmasdan server katalogiga yozib beradi va avtomatik ravishda ochadi.

3. Masofaviy kod bajarish (RCE) orqali administrator huquqlarini egallash

Malumot yozilganidan so‘ng, hujumchi veb-brauzer orqali shu .jsp faylga murojaat qiladi va shu orqali privilegiyalangan servis akkaunti nomidan buyruq bajaradi.

Bu esa unga administrator sifatida tizimga to‘liq kirish, maxfiy fayllarni yuklab olish, zararli dasturlarni o‘rnatish yoki ichki tarmoqda chuqurroq harakatlanish imkonini beradi.

Zaifliklar va ekspluatatsiya qilingan CVE’lar

Commvault:

  • Ta’sir ko‘rsatuvchi versiyalar: 11.38.0 – 11.38.19
  • Tuzatish: 11.38.20 va undan yuqori versiyalar
  • Asosiy zaifliklar: Zaif Java metodlar, servicePack parametridagi path traversal, noto‘g‘ri URL sanitizatsiyasi.

SonicWall SMA:

  • Zaifliklar: CVE-2025-23006, CVE-2024-38475
  • Holati: Yovvoyi ekspluatatsiyada (ya’ni haqiqiy hujumlarda qo‘llanilmoqda)
  • Xavf: Avtentifikatsiyadan oldingi masofaviy kod bajarilishi

Tavsiya etiladigan chora-tadbirlar

Mazkur tahdidning jiddiyligini inobatga olib, mutaxassislar quyidagilarni zudlik bilan amalga oshirishni tavsiya etadi:

Tizimlarni yangilash: Ayni damda ishlab chiqaruvchilar tomonidan chiqarilgan yamalar (patchlar) barcha ta’sir ko‘rsatuvchi qurilmalar uchun mavjud. Ularni imkon qadar tezroq o‘rnatish shart.

Jurnal va loglarni tahlil qilish: Soxta so‘rovlar, deployWebpackage.do kabi endpointlarga g‘ayritabiiy murojaatlar, shubhali .jsp fayllar mavjudligi yuzasidan audit o‘tkazing.

Administrator sessiyalarini kuzatib boring: Noma’lum yoki o‘zgaruvchan IP-manzillar orqali yaratilgan admin sessiyalar mavjudmi — tekshirib chiqing.

Fayl tizimini tahlil qiling: Web-root kataloglarda zararli .jsp yoki boshqa skript fayllarning bor-yo‘qligini aniqlang.

Qo‘shimcha xavfsizlik qatlamlarini joriy eting: Web Application Firewall (WAF) va Application Behavior Monitoring vositalaridan foydalaning.

SonicBoom hujum zanjiri — zamonaviy kiberxavfsizlikning eng zaif nuqtalarini fosh qiluvchi hodisa bo‘ldi. Bu hujum bir qarashda oddiy ko‘rinadigan, ammo chuqur tizimli tahlil orqali amalga oshiriladigan ko‘p bosqichli ekspluatatsiyadir.

Hujumchilarning nishoni — ko‘p hollarda yirik korporativ tarmoqlar, zaxira saqlash infratuzilmalari va VPN portallari bo‘lib, ular orqali butun tarmoqni boshqarish mumkin.

Bugungi kunda hech bir korxona bunday xavflardan mustasno emas. Shu sababli har bir IT mutaxassis, xavfsizlik xodimi va rahbar o‘z infratuzilmasini chuqur tahlil qilib, har qanday kichik zaiflikni ham darhol bartaraf etishga intilishi kerak.