WSO2 tizimidagi jiddiy xatolik: Har qanday foydalanuvchi parolini o‘zgartirish mumkin
2025-yil 22-may kuni kiberxavfsizlik mutaxassislari tomonidan WSO2 mahsulotlarida juda jiddiy zaiflik (CVE-2024-6914) aniqlangani haqida ogohlantirish e’lon qilindi. Bu zaiflik orqali masofadan turib, autentifikatsiyasiz tarzda administrator parolini tiklash va butun tizimni egallab olish mumkin.
Bu muammo WSO2 mahsulotidagi SOAP admin servisida noto‘g‘ri avtorizatsiya mexanizmi tufayli yuzaga kelgan. Foydalanuvchi parolini tiklash (account recovery) jarayonida autentifikatsiya tekshiruvi yetarlicha bajarilmagan, bu esa har qanday foydalanuvchi nomidan parolni yangilash imkonini bergan.
Zaiflik quyidagi endpoint orqali amalga oshiriladi:
/services (SOAP endpoint)
Eng xavflisi: hujum uchun foydalanuvchi aralashuvi talab etilmaydi — xakerlar tarmoq orqali soxta so‘rov yuborish orqali tizimga kira oladilar.
Quyidagi WSO2 versiyalari ushbu zaiflikdan ta’sirlangan:
- WSO2 API Manager: 2.2.0 – 4.3.0
- WSO2 Identity Server: 5.3.0 – 7.0.0
- WSO2 Identity Server as Key Manager: 5.3.0 – 5.10.0
- WSO2 Open Banking (AM/IAM/KM): 1.3.0 – 2.0.0
Bu mahsulotlar ko‘plab banklar, yirik korporatsiyalar va davlat tashkilotlari tomonidan keng foydalaniladi. Shuning uchun zaiflik global miqyosda IT infratuzilmalariga tahdid soladi.
Xakerlar zaiflikdan foydalanib quyidagi harakatlarni amalga oshirishi mumkin:
- Oddiy foydalanuvchi hisoblarini egallab olish
- Administrator huquqlarini qo‘lga kiritish
- Butun tizim ustidan to‘liq nazorat o‘rnatish
Bunga sabab — hisobni tiklash logikasidagi kamchilik va autentifikatsiya tekshiruvining yetarlicha bo‘lmasligi.
Kiberxavfsizlik mutaxassislari quyidagi zudlik bilan bajarilishi lozim bo‘lgan choralarni tavsiya etishmoqda:
🔒 1. Tarmoqqa kirishni cheklash
- SOAP admin xizmatlarini faqat ishonchli tarmoqlardan foydalanish mumkin
/serviceskontekst yo‘li ochiq internetda mavjud bo‘lmasligi kerak
🧱 2. Tarmoq xavfsizligini kuchaytirish
- Xavfsizlik devorlari (firewall) va IP-filtrlash yo‘lga qo‘yilishi kerak
- WSO2’ning rasmiy Security Guidelines for Production Deployment hujjatlari asosida sozlash amalga oshirilishi zarur
🛠 3. Zudlik bilan yamoq (patch) o‘rnatish
- WSO2 kompaniyasi allaqachon muammoni hal qiluvchi yangilanishlarni chiqargan
- Rasmiy patch’lar orqali zaiflik to‘liq bartaraf etiladi
🔍 4. Monitoring va audit yuritish
- Parol tiklashga oid barcha faoliyat nazorat qilinishi kerak
- Soxta so‘rovlar va g‘ayrioddiy harakatlarni aniqlash uchun monitoring joriy etilishi lozim
🛡 5. Qo‘shimcha xavfsizlik qatlamlari
- Ikki bosqichli autentifikatsiya (2FA) orqali administrator kirishini himoyalash tavsiya etiladi
WSO2 mahsulotlari yuqori xavfsizlik talab qilinadigan sohalarda qo‘llaniladi. Shu bois tizim administratorlari va IT xavfsizlik mutaxassislari bu zaiflikka befarq bo‘lmasliklari, zarur choralarni ko‘rishlari muhim.
🛑 Aks holda, tizimga noqonuniy kirish, maxfiy ma’lumotlarning sizishi va katta moliyaviy yo‘qotishlar ehtimoli mavjud
