Sicherheitslücken: Root-Attacken auf IBM AIX/VIOS möglich

Angreifer können Server und Workstations mit IBMs Betriebssystem AIX attackieren. Die Virtual-I/O-Server-Software (VIOS) ist ebenfalls angreifbar. Zusätzlich haben die Entwickler Schwachstellen in App Connect Enterprise Toolkit und Integration Bus for z/OS Toolkit geschlossen. Sicherheitsupdates sind zum Download verfügbar.

Opfer hinters Licht führen

Die Sicherheitslücke (CVE-2019-11777 „hoch„) in den beiden letztgenannten Produkten befindet sich in der Paho-Java-Client-Komponente, führen die Entwickler in einer Warnmeldung aus. Unter bestimmten Voraussetzungen wird ein MQTT-Server nicht verifiziert, sodass Angreifer einen eigenen MQTT-Server als vermeintlich legitim ausgeben können. Warum IBM die Lücke aus dem Jahr 2019 erst jetzt erwähnt, geht aus der Warnmeldung nicht hervor.

Die Entwickler versichern, die Schwachstelle in den folgenden Ausgaben geschlossen zu haben. Ob es bereits Attacken gibt, ist derzeit nicht bekannt.

• IBM Integration Bus for z/OS v10.1 – Fix Pack Release 10.1.0.6
• IBM App Connect Enterprise v12 – Fix Pack Release 12.0.12.17
• IBM App Connect Enterprise v13 – Fix Pack Release 13.0.4.2

Root-Sicherheitslücke

Wenn IBM AIX/VIOS Kerberos zur Authentifizierung nutzen, können lokale Angreifer an einer Softwareschwachstelle (CVE-2025-36344 „hoch„) ansetzen. Sind Attacken erfolgreich, können sie mit Root-Rechten Dateien ins System schreiben, erläutern die Entwickler in einem Beitrag. Auch hier gibt es bislang keine Berichte, dass Angreifer die Lücke bereits ausnutzen.

Um Systeme gegen eine solche Attacke zu schützen, müssen Admins ein Sicherheitsupdate installieren. Für AIX 7.2, 7.3 und VIOS 3.1, 4.1 steht das Update krb5.client.rte (1.16.1.7) zum Download bereit.

(des)