Xakerlar Cisco va Palo Alto VPN shlyuzlariga faol hujum qilmoqda: masofaviy kirish infratuzilmasi xavf ostida
2025-yil dekabr o‘rtalarida kiberjinoyatchilar korporativ tarmoqlarga kirishning eng muhim nuqtalaridan biri — VPN shlyuzlarini nishonga olgan keng ko‘lamli va muvofiqlashtirilgan kiberhujumlarni amalga oshirmoqda. Ushbu hujumlar asosan Palo Alto Networks GlobalProtect va Cisco SSL VPN yechimlariga qaratilgan bo‘lib, zaifliklardan emas, balki login va parollarni taxmin qilish (brute-force va credential stuffing) usullaridan foydalangan.
Mazkur kiberhujumlar masofaviy kirish infratuzilmasi hanuzgacha tashkilotlar uchun eng zaif nuqtalardan biri ekanini yana bir bor yaqqol namoyon etdi.
GlobalProtect ostidagi kuchli bosim
Kiberxavfsizlik monitoringi bilan shug‘ullanuvchi GreyNoise sensorlari 11-dekabr kuni misli ko‘rilmagan faollikni qayd etdi. Atigi 16 soat ichida 1,7 milliondan ortiq sessiya GlobalProtect portallariga yo‘naltirilgan. Hujumlarda 10 mingdan ziyod noyob IP-manzil ishtirok etgan bo‘lib, ular asosan AQSh, Pokiston va Meksika hududlariga mansubdek ko‘ringan, ammo amalda Germaniyada joylashgan 3xK GmbH bulut infratuzilmasidan kelib chiqqan.
So‘rovlar tuzilmasi bir xil bo‘lib, keng tarqalgan login-parol kombinatsiyalari va avtomatlashtirilgan urinishlarga xos xatti-harakatlar kuzatilgan. Qizig‘i shundaki, hujumchilar Firefox User-Agent’dan foydalangan — bu esa odatda bunday massiv avtomatlashtirilgan hujumlar uchun noodatiy holat hisoblanadi. Tahlilchilarga ko‘ra, bu yangi kampaniya boshlanishi yoki ochiq VPN portallarini “ro‘yxatga olish” (inventory) bosqichiga o‘xshaydi.
Navbat Cisco SSL VPN’ga keldi
12-dekabr kuni hujum faolligi keskin ravishda Cisco SSL VPN yechimlariga ko‘chdi. Bir sutka ichida hujumchi IP-manzillar soni 200 tadan 1 273 taga sakradi. Trafikning katta qismi GreyNoise’ning maxsus “fasad” sensorlariga yo‘naltirilgani bu hujumlar aniq maqsadlangan buzishdan ko‘ra, ommaviy skanerlash va sinov urinishlari ekanini ko‘rsatadi.
Cisco’ga qaratilgan hujumlarda ham xuddi shu IP oralig‘i, TCP fingerprint va avtomatlashtirilgan login shakllari qayd etildi. So‘rovlar tarkibida CSRF tokenlari va autentifikatsiya maydonlari mavjud bo‘lib, bu holat nol-kunlik (zero-day) zaifliklardan emas, balki o‘g‘irlangan login-parollar ro‘yxati asosida tizimli urinishlar amalga oshirilganini tasdiqlaydi.
Yagona aktyor, yagona uslub
TCP imzolari, vaqt oralig‘i va infratuzilma o‘xshashligi ushbu hujumlar bitta aktyor yoki yagona vositalar to‘plami tomonidan amalga oshirilganini ko‘rsatadi. GreyNoise mutaxassislari bu faoliyatni Cisco Talos tomonidan kuzatilgan boshqa kampaniyalar bilan bog‘lamagan bo‘lsa-da, avvalgi yillarda shunga o‘xshash hujum to‘lqinlari ko‘pincha keyinchalik e’lon qilingan CVE’lardan oldin kuzatilganini ta’kidlaydi. Bu esa hozircha brute-force ustuvor bo‘lsa-da, kelajakda murakkabroq hujumlar ehtimolini inkor etmaydi.
Tashkilotlar nima qilishi kerak?
Mazkur holat barcha tashkilotlar uchun muhim ogohlantirishdir. VPN shlyuzlari — ichki tarmoqqa kirishdagi “asosiy eshik” bo‘lib, ularning himoyasi sust bo‘lsa, butun infratuzilma xavf ostida qoladi. Mutaxassislar quyidagi choralarni tavsiya etadi:
- Ko‘p faktorli autentifikatsiya (MFA) ni majburiy joriy etish
- Har bir foydalanuvchi uchun kuchli va noyob parollar qo‘llash
- VPN loglarini muntazam audit va tahlil qilish
- GreyNoise tomonidan belgilangan zararli IP-manzillarni bloklash
- Palo Alto va Cisco qurilmalarida eng so‘nggi versiyalar va yangilanishlarni qo‘llash
Ushbu kampaniya VPN tizimlari kiberjinoyatchilar uchun hanuz eng jozibador nishonlardan biri ekanini ko‘rsatdi. Zaiflik bo‘lmasligi ham hujum bo‘lmaydi, degani emas — oddiy parol xatolari ham katta buzilishlarga olib kelishi mumkin. Tezkor tekshiruvlar, qat’iy autentifikatsiya siyosati va tahdid razvedkasidan foydalanish tashkilotlarga bunday hujumlarni boshlanish bosqichidayoq to‘xtatish imkonini beradi.
Bugun VPN xavfsizligiga e’tibor qaratmagan tashkilot ertaga butun tarmog‘ini yo‘qotishi mumkin. Shu sababli masofaviy kirish infratuzilmasini himoyalash — endi tanlov emas, balki zaruratdir.
