ToolShell: SharePoint serverlariga qaratilgan xavfli kiberhujum

2025-yil iyul oyida AQShning CISA agentligi tomonidan Microsoft SharePoint serverlariga qaratilgan yangi, xavfli hujum haqida ogohlantirish e’lon qilindi. Bu hujum “ToolShell” nomi bilan tanildi va unda ikki jiddiy zaiflikdan foydalanilgan:

  • CVE-2025-49706 – tarmoqni soxtalashtirish zaifligi (spoofing),
  • CVE-2025-49704 – masofaviy kod bajarish zaifligi (remote code execution, RCE).

🔍 Hujum qanday ishlaydi?

  1. Hujum boshlanishida xaker SharePoint’ning maxsus sahifasiga soxta so‘rov yuboradi.
  2. Bu so‘rov orqali tizimga kirish cheklovlari chetlab o‘tiladi.
  3. Natijada, zararli fayl – info3.aspx serverga joylashtiriladi.

Ushbu fayl orqali xaker tizimda yashirin buyruqlarni bajara oladi, fayllarni yuklaydi va foydalanuvchi loginlarini qo‘lga kiritadi.

🔑 Maxfiy kalitlarni o‘g‘irlash

Hujumning keyingi bosqichida xaker ASP.NET server konfiguratsiyasidagi kriptografik kalitlarni o‘g‘irlaydi. Buning uchun maxsus DLL fayl ishlatiladi va bu kalitlar X-TXT-NET nomli soxta sarlavha (HTTP header) orqali yuboriladi.

Shu orqali xakerlar saytga autentifikatsiyasiz kirish imkoniga ega bo‘lib qoladilar — hattoki MFA (ikki bosqichli tasdiqlash) yoqilgan bo‘lsa ham.

🐚 Yashirin nazorat: Webshell imkoniyatlari

Xaker o‘rnatgan info3.aspx nomli webshell quyidagi ishlarni bajarishi mumkin:

  • Buyruqlarni masofadan yuborish va bajarish,
  • Fayllarni yuklash yoki o‘g‘irlash,
  • Foydalanuvchilarning parollarini yig‘ish.

Buyruqlar maxfiy saqlanishi uchun Base64 formatida kodlangan bo‘ladi va tizimda hech qanday aniq iz qoldirmasdan bajariladi.

ToolShell faqat bitta fayl bilan cheklanmaydi. Xakerlar boshqa fayllarni ham (masalan, spinstallb.aspx va spinstallp.aspx) serverga joylashtirib, ularning ichida maxfiy (XOR shifrlangan) buyruqlarni yashirishadi.

Bu hujumlar orqali xakerlar tizimda uzoq muddat yashirincha qolib, istagan paytda qayta hujumni boshlashlari mumkin.

Himoya uchun nima qilish kerak?

CISA quyidagi alomatlarga (IOC — compromise belgilariga) e’tibor berishni tavsiya qiladi:

  • Serverda info3.aspx, spinstallb.aspx yoki spinstallp.aspx nomli fayllar bo‘lsa,
  • Javoblarda X-TXT-NET sarlavhasi paydo bo‘lsa,
  • Notanish DLL fayllar aniqlansa yoki Base64 formatda buyruqlar ishlatilsa.

ToolShell — bu oddiy webshell emas, balki rejalashtirilgan, murakkab va yashirin kiberhujum tizimi.

Agar sizning tashkilotingiz SharePoint’ni lokal serverda (on-premises) ishlatayotgan bo‘lsa, CISA bergan ogohlantirishga jiddiy qarang. Bu kabi hujumlar faqat bitta xatolik yoki zaiflik orqali butun tizimni egallashga olib kelishi mumkin.

🛡️ Himoya qiling: Serverlar, sarlavhalar va foydalanuvchi huquqlarini tekshirib boring. So‘nggi yangilanishlarni o‘rnating va kuzatuv tizimlarini yoqing.

Texnologiyalar rivojlanar ekan, tahdidlar ham murakkablashmoqda. Xavfsizlik – bu tanlov emas, majburiyat.