کشف آسیب‌پذیری در IBM Cloud Pak System

کشف آسیب‌پذیری در IBM Cloud Pak System

تاریخ ایجاد

IBM Cloud Pak System یک ابزار همه کاره IBM است که راه‌اندازی و مدیریت محیط‌های ابری خصوصی را برای انواع مختلف برنامه‌ها آسان می‌کند و اخیرأ یک آسیب‌پذیری با شناسه CVE-2023-38273 و شدت بالا (7.5) برای آن کشف شده است. طبق بررسی‌های صورت گرفته، سیستم IBM Cloud Pak دارای یک نقص امنیتی در تنظیمات قفل حساب خود است. این نقص به طور بالقوه می‌تواند از راه دور به مهاجم اجازه دهد تا به طور مکرر رمزهای عبور مختلف را امتحان کند تا زمانی که رمز عبور صحیح را پیدا کند، بدون آنکه مسدود یا قفل شود. به این نقص امنیتی در واقع همان حمله Brute Force می‌‌باشد.
بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی پایین یا بالا ندارد (PR: N)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از آن، دو ضلع از سه ضلع امنیت با شدت زیاد تحت تأثیر قرار می‌گیرد.

محصولات تحت تأثیر
نسخه‌های 2.3.1.1 ، 2.3.2.0 و 2.3.3.7 این محصول، تحت تأثیر نقص‌ امنیتی مذکور قرار خواهند گرفت.

توصیه‌های امنیتی
به کاربران توصیه می‌شود IBM Cloud Pak System  را به آخرین نسخه منتشر شده، به‌روزرسانی کنند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2023-38273