IBM AIX 多漏洞可能导致任意代码执行
MS-ISAC 通告编号:2025-033
发布日期:2025年4月3日
概述
IBM AIX 中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。IBM AIX 是专为 IBM Power Systems 设计的安全可靠的 Unix 操作系统,支持现代应用程序并提供强大的安全功能,是关键业务环境的理想选择。成功利用这些漏洞可能允许在受影响系统的上下文中执行任意代码。根据账户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。系统上权限较少的账户可能比具有管理用户权限的账户受影响较小。
威胁情报
目前没有这些漏洞在野外被利用的报告。
受影响系统
- IBM AIX 7.2 nimesis NIM Master
- IBM AIX 7.3 nimesis NIM Master
- IBM AIX 7.2 nimsh 服务 SSL/TLS
- IBM AIX 7.3 nimsh 服务 SSL/TLS
风险等级
政府机构:
- 大中型政府实体:高
- 小型政府实体:中
企业:
- 大中型企业实体:高
- 小型企业实体:中
家庭用户:低
技术摘要
IBM AIX 中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。漏洞详情如下:
战术:初始访问(TA0001)
技术:利用面向公众的应用程序(T1190):
- nimesis NIM 主服务中的缺陷流程控制可能允许任意命令执行(CVE-2024-56346)
- nimsh 服务中不当的 SSL/TLS 保护机制可能允许通过某些用户交互执行任意命令(CVE-2024-56347)
成功利用这些漏洞可能允许在受影响系统的上下文中执行任意代码。根据账户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。配置为在系统上具有较少权限的账户可能比使用管理用户权限操作的账户受影响较小。
修复建议
我们建议采取以下措施:
-
应用软件更新(M1051:更新软件)
- 经过适当测试后立即为易受攻击的系统应用 IBM 提供的适当更新
-
漏洞管理流程
- 保障措施 7.1:建立和维护企业资产的文档化漏洞管理流程。每年审查和更新文档,或当发生可能影响此保障措施的重大企业变更时
- 保障措施 7.2:建立和维护修复流程:建立和维护基于风险的修复策略,记录在修复流程中,每月或更频繁地进行审查
- 保障措施 7.4:执行自动化应用程序补丁管理:通过自动化补丁管理每月或更频繁地对企业资产执行应用程序更新
- 保障措施 7.5:执行内部企业资产的自动化漏洞扫描:每季度或更频繁地执行内部企业资产的自动化漏洞扫描。使用符合 SCAP 的漏洞扫描工具进行身份验证和非身份验证扫描
- 保障措施 7.7:修复检测到的漏洞:根据修复流程,每月或更频繁地通过流程和工具修复软件中检测到的漏洞
-
网络基础设施更新
- 保障措施 12.1:确保网络基础设施保持最新。示例实现包括运行最新的稳定软件版本和/或使用当前支持的网络即服务(NaaS)产品。每月或更频繁地审查软件版本以验证软件支持
-
渗透测试计划
- 保障措施 18.1:建立和维护适合企业规模、复杂性和成熟度的渗透测试计划
- 保障措施 18.2:根据计划要求执行定期外部渗透测试,不少于每年一次
- 保障措施 18.3:根据企业的修复范围和优先级策略修复渗透测试发现的问题
-
最小权限原则
- 对所有系统和服务应用最小权限原则。以非特权用户(无管理权限)身份运行所有软件以减少成功攻击的影响(M1026:特权账户管理)
- 保障措施 4.7:管理企业资产和软件上的默认账户
- 保障措施 5.5:建立和维护服务账户清单
-
漏洞扫描
- 使用漏洞扫描来查找可能被利用的软件漏洞并进行修复(M1016:漏洞扫描)
- 保障措施 16.13:执行应用程序渗透测试
-
网络分段
- 架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段防止访问可能敏感的系统信息(M1030:网络分段)
- 保障措施 12.2:建立和维护安全的网络架构
-
利用防护
- 使用功能检测和阻止可能导致或指示软件利用发生的条件(M1050:利用防护)
- 保障措施 10.5:在企业资产和软件上启用反利用功能
参考链接
CVE:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56346
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56347
IBM: