Sicherheitslücke in IBM Storage Virtualize

SuS Group Allgemein

Sicherheitslücke in IBM Storage Virtualize ermöglicht Schadcode-Ausführung

In der Bedienoberfläche von IBM Storage-Virtualize-Produkten können Angreifer Sicherheitslecks zum Einschleusen von Schadcode missbrauchen.

Vor zwei Sicherheitslücken in der Bedienoberfläche zu IBM Storage-Virtualize-Produkten warnt der Hersteller derzeit. Angreifer aus dem Netz können dadurch Schadcode einschleusen und ausführen.

In einer Sicherheitsmitteilung erörtert IBM, dass bösartige Akteure die Authentifizierung umgehen und beliebigen Code zur Ausführung bringen könnten. Die gravierende Schwachstelle ermöglicht Angreifern aus dem Netz, mit sorgsam präparierten HTTP-Anfragen die RPCAdapter-Endpunkt-Authentifizierung zu umgehen (CVE-2025-0159, CVSS 9.1, Risiko „kritisch„).

Schwachstellenkombination besonders brisant

Die zweite Sicherheitslücke hingegen ermöglicht Angreifern aus dem Netz mit Zugriff auf das System, beliebigen Javascript-Code auszuführen. Das geht auf unzureichende Einschränkungen im RPCAdapter-Dienst zurück (CVE-2025-0160, CVSS 8.1, Risiko „hoch„). In Kombination können Angreifer aus dem Netz daher die Authentifizierung umgehen, um dann beliebigen Code auf verwundbaren Systemen auszuführen.

IBM legt Wert auf die Feststellung, dass die GUI, also die Bedienoberfläche, betroffen ist. Die Kommandozeilenversion ist nicht verwundbar. Angreifbar sind die IBM Storage-Virtualize-Versionen 8.5.0.x, 8.5.1.0, 8.5.2.x, 8.5.3.x, 8.5.4.0, 8.6.0.x, 8.6.1.0, 8.6.2.x, 8.6.3.0, 8.7.0.x und 8.7.1.0 sowie 8.7.2.x. Die Sicherheitslücken haben die Entwickler hingegen in den derzeit jüngsten Versionen 8.5.0.14, 8.6.0.6, 8.7.0.3 und 8.7.2.2 geschlossen; die 8.5.1- bis 8.5.4er-Zweige sollen dabei auf 8.6 migrieren, die 8.6.1- bis 8.6.3-Fassungen auf 8.7. IBM nennt zudem konkret betroffene Appliances: IBM FlashSystem 5×00, 7×00, 9×00, IBM Spectrum Virtualize for Public Cloud, IBM Storwize V5000, V5000E, V7000 und SAN Volume Controller.

IBM macht keine Angaben dazu, ob das Unternehmen Kenntnisse dazu hat, ob die Lücken bereits angegriffen werden. Aufgrund des Schweregrads der Schwachstellen sollten IT-Verantwortliche die bereitstehenden Aktualisierungen jedoch zügig herunterladen und installieren.

 

Quelle: Heise Online

Sicherheitslücke in IBM Storage Virtualize
WordPress Cookie Plugin von Real Cookie Banner