Symantec Endpoint Management Suite’da jiddiy zaiflik: Port 4011 orqali masofaviy kod ishga tushirilmoqda

🔐 Symantec Endpoint Management Suite dasturida xavfli zaiflik (CVE-2025-5333) aniqlanib, u orqali hujumchilar hech qanday autentifikatsiyasiz masofadan turib serverda ixtiyoriy kodni ishga tushirishi mumkin. Bu zaiflik .NET deserializatsiya (obyektni xotiraga qayta tiklash) jarayonining noto‘g‘ri sozlanishi bilan bog‘liq bo‘lib, xavfsizlik tadqiqotchilari uni may oyida aniqlagan.

🧩 Zaiflik tafsilotlari:

  • CVE-2025-5333 identifikatori bilan qayd etilgan bu zaiflik CVSS 4.0 bo‘yicha maksimal darajaga yaqin — 9.5 ball bilan baholangan.
  • Zaiflik Symantec Altiris Inventory Rule Management (IRM) komponentida joylashgan bo‘lib, 4011-port orqali .NET Remoting xizmatiga bog‘lanish imkonini beradi.
  • Bu port orqali yuborilgan maxsus tuzilgan paketlar orqali hujumchi serverga .NET obyektlarini jo‘natadi va ularni kod sifatida ishga tushiradi.
  • Hujum amalga oshirilishi uchun tarmoqdan erkin kirish, foydalanuvchi ishtirokisiz va autentifikatsiyasiz bajarilishi mumkin. Bu esa uni ayniqsa xavfli qiladi.

🎯 Kimlar ta’sir ko‘radi?

  • Symantec Endpoint Management Suite’ning 8.6.x, 8.7.x va 8.8 versiyalaridan foydalanayotgan tashkilotlar.
  • Serverlarida 4011-port ochiq bo‘lgan va global tarmoqqa ulanishga ruxsat bergan foydalanuvchilar ayniqsa xavf ostida.

🧪 Texnik tafsilotlar:

  • .NET muhitida ishlovchi xizmatlar TypeFilterLevel = Full sozlamasi orqali obyektlarni hech qanday cheklovlarsiz deserializatsiya qilmoqda.
  • Hujumchilar ExploitRemotingService kabi vositalardan foydalangan holda “tcp://<nishon>:4011/IRM/HostedService” manziliga buyruqlar yuborib, masofadan turib serverda fayllarni o‘qish, foydalanuvchi yaratish va zararli dasturiy ta’minotni yuklash imkoniyatiga ega bo‘ladilar.
  • Zaiflikni LRQA Red Team tadqiqotchilari aniqlagan va dnSpy yordamida xizmatni tahlil qilishgan.

Broadcom (Symantec kompaniyasining egasi) quyidagi choralarni ko‘rishni qat’iy tavsiya qilmoqda:

  1. 4011-portni barcha tashqi tarmoqdan kirishga yopish (firewall orqali).
  2. IRM komponentidagi IRM_HostedServiceUrl sozlamasini bo‘sh qoldirish va xizmatni qayta ishga tushirish.
  3. Kelgusidagi yangilanishlarda bu xizmat localhost bilan cheklanadi, lekin hozircha qo‘lda sozlash lozim.
  4. Tarmoqdagi port monitoringi, maxsus PowerShell skriptlar, yangi foydalanuvchi yaratish yoki .NET xizmatlarida g‘ayritabiiy xatti-harakatlar yuzasidan kuzatuv olib borish.

Symantec Endpoint Management Suite’da aniqlangan ushbu zaiflik serverni butunlay boshqarish imkonini beruvchi jiddiy xatodir. Ayniqsa, bu zaiflik foydalanuvchi aralashuvisiz va autentifikatsiyasiz amalga oshirilishi mumkinligi uni tahdid darajasini oshiradi. Tashkilotlar zudlik bilan 4011-portni yopishlari, xavfsizlik konfiguratsiyalarini qayta ko‘rib chiqishlari va kerakli yamoqlarni o‘rnatishlari zarur.

Kiberxavfsizlik — sustkashlikni kechirmaydi! 🔐