Skip to content

“UZ” domen hududida aniqlangan Top-15 ta kiberxavfsizlik zaifliklar turlari va ularning oqibatlari

Hozirgi raqamli davrda internet resurslarining xavfsizligi har qachongidan ham muhimroq. UZCERT xizmati tomonidan 2024-yilda olib borilgan o‘rganishlarga ko‘ra, “UZ” domenida joylashgan veb-resurslarda ko‘plab yuqori darajadagi kiberxavfsizlik zaifliklari aniqlangan. Quyida ularning asosiy turlari, ularning qanday xavflarga olib kelishi mumkinligi va ehtiyot choralari haqida batafsil ma’lumot beramiz.

1. Identification and Authentication Failures (Identifikatsiya va autentifikatsiya xatoliklari) – 80 ta veb-saytlarda.

Bu xatoliklar foydalanuvchilarning shaxsiy ma’lumotlariga noqonuniy kirish imkonini yaratishi mumkin. Zaif autentifikatsiya tizimi natijasida hujumchilar parollarni o‘g‘irlashi yoki tizimga ruxsatsiz kirishi mumkin. Natijada, ma’lumotlar o‘g‘irlanishi yoki buzilishi ehtimoli yuqori bo‘ladi.

2. Vulnerable and Outdated Components (Eskirgan va zaif komponentlar) – 89 ta veb-saytlarda.

Eskirgan dasturiy ta’minot yoki plaginlar xavfsizlik teshiklarini ochib beradi. Hujumchilar ushbu teshiklar orqali tizimga kirib, zararli dasturlarni joylashtirishi yoki maxfiy ma’lumotlarni o‘g‘irlashi mumkin.

3. Security Misconfigurations (Noto‘g‘ri xavfsizlik konfiguratsiyasi) – 56 ta veb-saytlarda.

Xavfsizlik sozlamalarining noto‘g‘ri o‘rnatilishi tizimni ochiq va hujumga moyil holga keltiradi. Bu orqali hujumchilar ma’lumotlarni buzishi yoki kirish huquqlarini o‘zgartirishi mumkin.

4. Insecure Design (Xavfsiz bo‘lmagan dizayn) – 12 ta veb-saytlarda.

Dasturiy ta’minot yoki tizim arxitekturasining noto‘g‘ri loyihalashtirilishi hujumchilarga hujum qilish imkonini beradi. Bu zaiflik natijasida ma’lumotlar yo‘qolishi yoki noqonuniy foydalanishga tushib qolishi mumkin.

5. Broken Access Control (Buzilgan kirish nazorati) – 54 ta veb-saytlarda.

Agar tizimda kirish nazorati noto‘g‘ri o‘rnatilgan bo‘lsa, foydalanuvchilarga ularning vakolatidan ortiq imkoniyatlar berilishi mumkin. Bu esa maxfiy hujjatlarning oshkor bo‘lishi yoki buzilishi xavfini oshiradi.

6. Injection (Kod yuborish hujumlari) – 27 ta veb-saytlarda.

SQL-in’eksiyalar va boshqa turdagi kod yuborish hujumlari orqali hujumchilar ma’lumotlar bazasiga ruxsatsiz kirishi, ma’lumotlarni o‘chirib yuborishi yoki tahrirlashi mumkin.

7. Improper Restriction of Excessive Authentication Attempts (Cheksiz autentifikatsiya urinishlari) – 27 ta veb-saytlarda.

Tizim foydalanuvchi parollarini cheksiz sinab ko‘rish imkonini bersa, bu «Brute-force» hujumlariga yo‘l ochadi. Natijada, parollar o‘g‘irlanishi va tizimga noqonuniy kirish yuz berishi mumkin.

8. Cryptographic Failures (Kriptografik xatoliklar) – 12 ta veb-saytlarda.

Shifrlashning noto‘g‘ri amalga oshirilishi ma’lumotlarning himoyasiz qolishiga olib keladi. Hujumchilar bunday zaifliklar orqali maxfiy ma’lumotlarni dekodlashlari mumkin.

9. Exposure of Sensitive Information to an Unauthorized Actor (Maxfiy ma’lumotlarning oshkor qilish) – 15 ta veb-saytlarda.

Agar tizim foydalanuvchilarning shaxsiy yoki moliyaviy ma’lumotlarini ochiq saqlasa, bu firibgarlik va shaxsni o‘g‘irlash holatlariga olib kelishi mumkin.

10. Leakage of Passwords (Parollarning ommaga tarqalishi) – 13 ta veb-saytlarda.

Parollar himoyalanmagan holda saqlansa yoki noto‘g‘ri shifrlansa, ular internetda tarqalib ketishi mumkin. Natijada, foydalanuvchilar o‘z akkauntlariga kirish imkoniyatini yo‘qotishi mumkin.

11. Software and Data Integrity Failures (Dasturiy ta’minot va ma’lumotlar yaxlitligi xatoliklari) – 15 ta veb-saytlarda.

Hujumchilar tizimga zararli kod joylashtirishi yoki dasturiy ta’minotni buzib qo‘yishi mumkin. Bu esa dasturiy mahsulotlar va foydalanuvchilar uchun katta xavf tug‘diradi.

12. Directory Listing Vulnerability (Veb-sayt ochiq kataloglari) – 5 ta veb-saytlarda.

Agar veb-server konfiguratsiyasi noto‘g‘ri o‘rnatilgan bo‘lsa, saytning ichki fayllari ochiq holda qolishi mumkin. Bu esa hujumchilarga maxfiy hujjatlarga erkin kirish imkonini beradi.

13. Clickjacking (Brauzer manipulyatsiya zaifligi) – 3 ta veb-saytlarda.

Clickjacking hujumlarida hujumchi foydalanuvchini noto‘g‘ri tugmalarni bosishga undaydi. Bu orqali zararli dasturlar ishga tushirilishi yoki maxfiy ma’lumotlar o‘g‘irlanishi mumkin.

14. TLS ning eskirgan versiyasidan foydalanish (OWASP: Weak SSL TLS Ciphers) – 2 ta veb-saytlarda.

TLS ning eski yoki zaif shifrlash algoritmlaridan foydalanish ma’lumotlarni shifrlash sifatini pasaytiradi va hujumchilarga ma’lumotlarni dekodlash imkoniyatini beradi.

15. CWE (Common Weakness Enumeration) – 20 ta veb-saytlarda.

Bu turli xil umumiy zaifliklarni o‘z ichiga oluvchi toifadir. Har xil hujum usullariga imkon yaratadigan noto‘g‘ri kodlash usullari yoki xavfsizlik zaifliklarini o‘z ichiga oladi.

UZCERT xizmati tomonidan aniqlangan zaifliklar, kiberxavfsizlikning hozirgi holatini koʻrsatib, ularning jiddiy oqibatlari haqida ogohlantiradi. Bu zaifliklarni bartaraf etish —  tizimlarning xavfsizligini taʼminlashning eng muhim qadamlaridan biridir. Har bir tashkilot oʻz tizimlarini muntazam ravishda tekshirib, zaifliklarni bartaraf etish orqali kiberxavfsizlikni mustahkamlashi kerak. Faqatgina shu yoʻl bilan maʼlumotlarning himoyasini taʼminlash va kibetahdidlarni oldini olish mumkin.