Krytyczna luka w AIX. Zdalni atakujący mogą przejąć kontrolę nad serwerami IBM

kapitanhack.pl 2 godzin temu

Najnowsze biuletyny bezpieczeństwa IBM ujawniły poważne luki w systemie AIX (oraz VIOS), które mogą zostać wykorzystane przez zdalnych atakujących do wykonania nieautoryzowanych poleceń, odczytania kluczy prywatnych lub wstrzyknięcia plików na serwer. Błędy dotyczą kluczowych komponentów NIM (Network Installation Manager), a ich skala sprawia, iż administratorzy systemów AIX powinni działać natychmiast. Poniżej znajdziesz przegląd najważniejszych zagrożeń oraz szczegóły techniczne, a także informacje, co robić, aby się zabezpieczyć.

Krótko o NIMSH i Nimesis

NIMSH i Nimesis to najważniejsze komponenty systemu zarządzania AIX o nazwie NIM (Network Installation Manager). NIMSH działa jako zdalny agent na klienckich serwerach AIX, umożliwiając wykonywanie poleceń i operacji instalacyjno-konfiguracyjnych bez użycia starszych protokołów, jak rsh, wykorzystując własną komunikację TCP oraz SSL/TLS, natomiast nimesis pełni rolę nowoczesnego serwera NIM Master, który obsługuje żądania klientów, zarządza procesami instalacji, aktualizacji i dystrybucji zasobów, działając zwykle przez HTTP/HTTPS. Oba komponenty współpracują, zapewniając automatyczną i scentralizowaną administrację środowiskami AIX.

Jakie luki odkryto?

Według biuletynu IBM zidentyfikowano trzy poważne podatności: CVE-2025-36251, CVE-2025-36250 oraz CVE-2025-36236 (szczegóły tutaj):

  1. CVE-2025-36251 (nimsh, SSL/TLS):
    • Dotyczy usługi nimsh (część NIM) i jej implementacji SSL/TLS.
    • Błąd typu CWE-114 (Process Control) oznacza, iż procesy nie są odpowiednio chronione, co pozwala atakującemu na wykonanie dowolnych poleceń.
    • Wartość CVSS: 9.6 (bardzo wysoka).
    • Wektor ataku: sieć (network), bez uwierzytelniania i interakcji użytkownika.
  2. CVE-2025-36250 (nimesis / NIM server):
    • Dotyczy usługi nimesis (były NIM Master), także z powodu nieprawidłowej kontroli procesów.
    • Klasyfikacja: CWE-114 – błąd kontroli procesów.
    • CVSS: 10.0 – maksymalna ocena na skali krytyczności.
    • Wejście ataku przez sieć, również bez konieczności uwierzytelniania czy interakcji.
  3. CVE-2025-36236 (path traversal):
    • Pozwala atakującemu na przeglądanie katalogów (CWE-22) w serwerze NIM (nimesis).
    • Poprzez specjalnie spreparowany URL atakujący może zapisać dowolne pliki w systemie.
    • Ocena CVSS 8.2.

Na jakie wersje AIX i VIOS wpływają odkryte luki

Zagrożone są m.in.:

  • AIX 7.2 i AIX 7.3
  • VIOS (Virtual I/O Server) w wersjach 3.1 oraz 4.1
  • Problem dotyczy konkretnych filesetów (komponentów AIX): m.in. bos.sysmgt.nim.client, bos.sysmgt.nim.master, bos.sysmgt.sysbr w określonych poziomach wersji.

Łaty i rekomendacje

IBM opublikował poprawki (interim fixes) w specjalnym archiwum nim_fix2.tar.

  • Administratorzy powinni pobrać i zastosować aktualizacje dostępne w tym archiwum (tar).
  • Zanim zastosujesz łaty, utwórz kopię zapasową (np. mksysb), aby móc odtworzyć system w razie problemów.
  • Po pobraniu poprawek warto zweryfikować ich integralność (np. sumy kontrolne), co pozwala upewnić się, iż pliki nie zostały zmodyfikowane.
  • Jeśli to możliwe, ogranicz dostęp do usług nimsh i nimesis jedynie do zaufanych sieci (segmentacja sieci).

Dlaczego to groźne i komu zagraża?

  • Zdalne wykonanie poleceń

Atakujący mogą przejąć kontrolę nad systemem AIX, co w przypadku serwerów firmowych jest krytyczne – AIX często działa w środowiskach korporacyjnych wysokiej klasy.

  • Krzyżowy dostęp

Z racji iż luki dotyczą NIM (usługa instalacyjna / zarządzająca systemami), exploit może dać atakującemu szerokie możliwości – nie tylko na jednej maszynie, ale rozprzestrzenić się w całej infrastrukturze AIX.

  • Kradzież kluczy prywatnych

CVE-2025-36096 (wspomniany w biuletynie) umożliwia odczyt prywatnych kluczy NIM, co może prowadzić do podszywania się pod węzły instalacyjne lub przechwytywania ważnych procesów.

  • Zapisywanie plików

Dzięki CVE-2025-36236 atakujący jest w stanie wstrzykiwać złośliwe pliki, co może posłużyć jako wektor trwałego dostępu lub późniejszych ataków.

Podsumowanie i zalecenia

Administratorom zalecamy jak najszybciej zastosować poprawki udostępnione przez IBM, pobierając archiwum nim_fix2.tar i wdrażając odpowiednie interim fixes, a przed ich instalacją wykonać kopię zapasową systemu. Należy również ograniczyć dostęp sieciowy do usług NIM, takich jak nimesis i nimsh, szczególnie w środowiskach produkcyjnych, oraz regularnie monitorować logi, zwracając uwagę na nietypowe działania czy podejrzane żądania wskazujące na próby path traversal. Dodatkowo warto subskrybować powiadomienia APAR od IBM, by być na bieżąco z nowymi poprawkami bezpieczeństwa i aktualizacjami.

Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Krytyczna luka w AIX. Zdalni atakujący mogą przejąć kontrolę nad serwerami IBM

Powiązane

Krytyczna podatność w aplikacji UniFi Access

Krytyczna podatność w aplikacji UniFi Access

6 godzin temu
Aktualizacja Google Chrome łata dwie podatności

Aktualizacja Google Chrome łata dwie podatności

6 godzin temu
Microsoft odpiera rekordowy atak DDoS. Chmura Azure

Microsoft odpiera rekordowy atak DDoS. Chmura Azure

18 godzin temu
Podatność w oprogramowaniu Times Software E-Payroll

Podatność w oprogramowaniu Times Software E-Payroll

20 godzin temu
Podatności w oprogramowaniu Windu CMS

Podatności w oprogramowaniu Windu CMS

23 godzin temu
Chrome z nową luką zero-day. Zaktualizuj przeglądarkę już teraz

Chrome z nową luką zero-day. Zaktualizuj przeglądarkę już te...

1 dzień temu
Fortinet FortiWeb: CISA daje tydzień na załatanie krytycznej luki CVE-2025-64446 (aktywnie wykorzystywanej)

Fortinet FortiWeb: CISA daje tydzień na załatanie krytycznej...

1 dzień temu
Chrome 142 łata aktywnie wykorzystywaną lukę w V8 (CVE-2025-13223). Aktualizuj natychmiast

Chrome 142 łata aktywnie wykorzystywaną lukę w V8 (CVE-2025-...

1 dzień temu