WSUS Zaifligi: Kiberjinoyatchilar Windows serverlari orqali maxfiy ma’lumotlarni o‘g‘irlashni boshladi
Kiberjinoyatchilar Windows Server Update Services (WSUS) tizimidagi jiddiy zaiflikdan foydalanib, turli tashkilotlarning maxfiy ma’lumotlarini qo‘lga kiritmoqda. CVE-2025-59287 sifatida qayd etilgan ushbu zaiflik Microsoft tomonidan 2025-yil 14-oktyabr kuni bartaraf etilgan bo‘lsada, ommaga e’lon qilingan ekspluatatsiya (PoC) kodidan so‘ng hujumlar keskin avj oldi.
Sophos ma’lumotlariga ko‘ra, ekspluatatsiya jarayoni PoC GitHub’ga joylashtirilganidan atigi bir necha soat o‘tib — 2025-yil 24-oktyabr kuni boshlandi. Hujumlar asosan AQShdagi internetga ochiq WSUS serverlariga qaratilib, ularning orasida:
- universitetlar,
- texnologiya kompaniyalari,
- ishlab chiqarish korxonalari,
- tibbiyot tashkilotlari
borligi tasdiqlangan. Sophos hozircha kamida 6 ta tasdiqlangan holatni qayd etgan, biroq mutaxassislar bu raqam aslida ancha yuqori bo‘lishi mumkinligini ta’kidlamoqda.
Hujum qanday amalga oshiriladi?
Zaiflik WSUSdagi deserializatsiya xatosi orqali autentifikatsiyasiz masofadan kod ijrosiga (RCE) imkon beradi. Hujumchilar zararli kodni Base64 ko‘rinishida PowerShell orqali IIS’ning w3wp.exe jarayoni ostida ishga tushiradi — ya’ni server ovozsiz va foydalanuvchi sezmaydigan tarzda boshqarib olinadi.
Zararli skript tizimga kirish bilan:
✅ tashqi IP manzillar va ochiq portlar,
✅ Active Directory foydalanuvchilari ro‘yxati,
✅ tarmoq interfeyslari konfiguratsiyasi
kabi maxfiy ma’lumotlarni to‘plab, tajovuzkorlar nazoratidagi webhook.site manzillariga jo‘natadi.
Tadqiqotchilar to‘rtta turli webhook’ni aniqladi. Ulardan uchtasi hatto xizmatning bepul tarifida ro‘yxatdan o‘tgan bo‘lgan — bu esa hujumchilarning aynan aniqlanish ehtimoli yuqori bo‘lgan platformadan foydalanayotganini ko‘rsatadi.
Bir nechta ochiq webhook loglari tahlili shuni ko‘rsatdiki:
- ekspluatatsiya 02:53 UTC da boshlangan,
- 11:32 UTC ga kelib esa 100 ta so‘rov chegarasiga yetgan.
Bu esa kiberjinoyatchilarning yangi yamoqlangan zaifliklardan foydalanishda qanday tezkorligi va agressivligini yana bir bor isbotladi.
Nima uchun bu xavfli?
- Hujumchilar tanlab hujum qilmayapti — internetga ochiq WSUS serverlari avtomatik skanerlanmoqda.
- Qo‘lga kiritilgan ma’lumotlar keyinchalik:
• tarmoq ichki xaritasini tuzish,
• kirish huquqlarini oshirish,
• boshqa kiberjinoyatchilarga sotish uchun foydalanilishi mumkin. - AD foydalanuvchilari va tarmoq konfiguratsiyasi — reyd hujumlari (lateral movement) uchun ideal razvedka ma’lumotidir.
Tavsiya va yechimlar
WSUS ishlatayotgan barcha tashkilotlar zudlik bilan quyidagilarni amalga oshirishi shart:
| # | Tavsiya | Sababi |
|---|---|---|
| 1. | Microsoft yamoqlarini darhol o‘rnatish | Zaiflikni yopadi va RCE ni bloklaydi |
| 2. | WSUS’ni internetdan ajratish | Hujum sirtini keskin kamaytiradi |
| 3. | 8530 va 8531-portlarga kirishni cheklash | Faqat zarur tizimlargagina ruxsat beriladi |
| 4. | Loglarni tekshirish | Shubhali PowerShell faoliyatini aniqlash uchun |
| 5. | Tarmoq segmentatsiyasi joriy etish | Hujum tarqalishini oldini oladi |
| 6. | AD audit: yangi yaratilgan foydalanuvchilar, rollar, ruxsatlar | Hujum davomida tiklangan yashirin kirishlarni topadi |
WSUS’dagi CVE-2025-59287 zaifligi — bu yana bir bor “yamoq chiqarildi — demak muammo tugadi” degan noto‘g‘ri tasavvurga zarba bo‘ldi. Yamoq chiqqan paytning o‘zi, aslida, kiberjinoyatchilar uchun hujumni boshlash belgisi bo‘lib qolmoqda.
Bugungi kunda IT-mutaxassislar uchun eng katta dars shuki:
Har bir yangi xavfsizlik yangilanishi — bu nafaqat muammoni tuzatish, balki hujumchilarning e’tiborini jalb qiluvchi signal hamdir.
Shu sababli yamoqlash jarayonlarini avtomatlashtirish, internetga ochiq xizmatlarni kamaytirish va monitoringni kuchaytirish — tashkilot xavfsizligining asosiy tayanchiga aylanishi kerak.
