Vor zwei Sicherheitslücken in der Bedienoberfläche zu IBM Storage-Virtualize-Produkten warnt der Hersteller derzeit. Angreifer aus dem Netz können dadurch Schadcode einschleusen und ausführen.
Anzeige
In einer Sicherheitsmitteilung erörtert IBM, dass bösartige Akteure die Authentifizierung umgehen und beliebigen Code zur Ausführung bringen könnten. Die gravierende Schwachstelle ermöglicht Angreifern aus dem Netz, mit sorgsam präparierten HTTP-Anfragen die RPCAdapter-Endpunkt-Authentifizierung zu umgehen (CVE-2025-0159, CVSS 9.1, Risiko "kritisch").
Die zweite Sicherheitslücke hingegen ermöglicht Angreifern aus dem Netz mit Zugriff auf das System, beliebigen Javascript-Code auszuführen. Das geht auf unzureichende Einschränkungen im RPCAdapter-Dienst zurück (CVE-2025-0160, CVSS 8.1, Risiko "hoch"). In Kombination können Angreifer aus dem Netz daher die Authentifizierung umgehen, um dann beliebigen Code auf verwundbaren Systemen auszuführen.
IBM legt Wert auf die Feststellung, dass die GUI, also die Bedienoberfläche, betroffen ist. Die Kommandozeilenversion ist nicht verwundbar. Angreifbar sind die IBM Storage-Virtualize-Versionen 8.5.0.x, 8.5.1.0, 8.5.2.x, 8.5.3.x, 8.5.4.0, 8.6.0.x, 8.6.1.0, 8.6.2.x, 8.6.3.0, 8.7.0.x und 8.7.1.0 sowie 8.7.2.x. Die Sicherheitslücken haben die Entwickler hingegen in den derzeit jüngsten Versionen 8.5.0.14, 8.6.0.6, 8.7.0.3 und 8.7.2.2 geschlossen; die 8.5.1- bis 8.5.4er-Zweige sollen dabei auf 8.6 migrieren, die 8.6.1- bis 8.6.3-Fassungen auf 8.7. IBM nennt zudem konkret betroffene Appliances: IBM FlashSystem 5x00, 7x00, 9x00, IBM Spectrum Virtualize for Public Cloud, IBM Storwize V5000, V5000E, V7000 und SAN Volume Controller.
IBM macht keine Angaben dazu, ob das Unternehmen Kenntnisse dazu hat, ob die Lücken bereits angegriffen werden. Aufgrund des Schweregrads der Schwachstellen sollten IT-Verantwortliche die bereitstehenden Aktualisierungen jedoch zügig herunterladen und installieren.
(
Kommentare