Datei-Injection und Rechteausweitung Sechs Sicherheitslücken in IBMs QRadar und AIX

IBM warnt vor sechs teils kritischen Sicherheitslücken in AIX und QRadar, darunter eine mit CVSS 10.0. Admins sollten dringend patchen, da Angreifer über NIM-Komponenten oder das Azure SDK für Java hohe Rechte erlangen könnten.

IBM meldete jüngst gleich sechs Schwachstellen in seinem Unix-Betriebssysstem Advanced Interactive eXecutive (AIX) und im Security Information and Event Management (SIEM) QRadar. Vier dieser Schwachstellen sind kritisch, eine hat sogar den maximalen CVSS-Score von 10.0 erhalten. Bisher gibt es keine Informationen über erfolgreiche Angriffe über diese Schwach­stellen. Dennoch sollten Admins die Patches schnellstmöglich installieren.

Um diese Sicherheitslücken handelt es sich:

• CVE-2025-36250, CVSS-Score 10.0, in AIX

• CVE-2025-36251, CVSS-Score 9.6, in AIX

• CVE-2020-16971, CVSS-Score 9.1, in QRadar

• CVE-2025-36096, CVSS-Score 9.0, in AIX

• CVE-2025-36236, CVSS-Score 8.2, in AIX

• CVE-2025-33119, CVSS-Score 6.5, in QRadar

VMware Aria Operation und VMware Tools

Zero-Day-Schwachstelle ermöglicht Root-Rechte in VMware-Umgebungen

NIM-Server gefährdet

Die beiden brisantesten Sicherheitslücken der Meldung von IBM sind CVE-2025-36250 und CVE-2025-36251. Sie ermöglichen es erfolgreichen Akteuren, beliebige Befehle im Network Installation Manager (NIM) auszuführen. Der NIM ist ein zentrales Installations- und Software-Management-Framework in AIX-Systemen. Auch der NIM Shell Service ist davon betroffen.

Mithilfe von CVE-2025-36096 können sich Angreifer zudem unbefugten Zugriff auf AIX verschaffen. Grund hierfür ist, dass die Lösung aufgrund eines Software-Fehlers die privaten Schlüssel, die in NIM-Umgebungen verwendet werden, unsicher speichert. Im Zusammenspiel mit CVE-2025-36236 sind Cyberkriminelle dann außerdem in der Lage, Verzeichnisse auf dem System zu durchsuchen und mithilfe von speziell präparierten beliebige Dateien auf dem System abzulegen.

Betroffen sind folgende AIX-Versionen:

QRadar von Rechteausweitung in Azure betroffen

Bei der schon älteren und bekannten Sicherheitslücke CVE-2020-16971 handelt es sich um eine Schwachstelle in Azure SDK für Java, eine Samm­lung von Java-Bibliotheken, mit denen Entwickler aus Anwendungen heraus auf Microsoft-Azure-Dienste zugreifen können. Dabei werden TLS- und andere Verbindungs­prü­fungen unzureichend abgesichert sind und so ein Security-Feature-Bypass möglich. Angreifer können dadurch Verbindungen manipulieren und unter bestimmten Bedingungen erhöhte Rechte erlangen. Da QRadar für das Microsoft-Azure-Event-Hubs-Protokoll das Azure SDK for Java verwendet, übernimmt es automatisch die darin enthaltene Sicherheitslücke CVE-2020­16971 und sich möglicherweise in dem SIEM höhere Rechte verschaffen. Dass erst jetzt auffällt, dass QRadar eine fünf Jahre alte Schwachstelle aus einer Drittanbieter-Bibliothek mitgeführt hat, zeigt ein grundsätzliches Problem moderner Software-Supply-Chains. Viele Hersteller integrieren externe Bibliotheken, ohne deren Sicherheitslage dauerhaft im Blick zu haben. Mit der Folge, dass bekannte Lücken jahrelang unbemerkt in Produkten weiterleben.

Und auch die Sicherheitslücke CVE-2025-33119 betrifft QRadar. Hier werden Benutzer­an­mel­de­informationen in Konfigurationsdateien in der Quellcodeverwaltung gespeichert, die unge­sich­ert von authentifizierten Nutzern gelesen werden können. Beide Sicherheitslücken be­tref­fen die Versionen 7.5 bis 7.5.0 UP14 von QRadar. Mit Version 7.5.0 UP14 IF01 oder – im Falle von CVE-2020-16971 – mit dem aktualisierten QRadar-Protokoll in Microsoft-Azure-Event-Hubs, werden die Schwachstellen geschlossen.

IBM X-Force Threat Intelligence Index 2025

Warum Identitätsdiebstahl Ransom­ware als größte Cyberbedrohung ablöst

(ID:50629150)