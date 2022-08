Durch Sicherheitslücken in IBMs Middleware MQ hätten Angreifer unbefugt Informationen ausspähen und damit weitere Angriffe ausführen oder URL-Filter umgehen können. Der Hersteller stellt Updates zum Abdichten der Sicherheitslecks bereit. Die MQ-Middleware dient unter anderem dazu, den Nachrichtenaustausch zwischen unterschiedlichen Systemen zu ermöglichen (Message Queue, MQ).

Drei hochriskante Schwachstellen in IBM MQ

Der IBM MQ Explorer führt nur eine ungenügende Prüfung von übergebenen XML-Daten durch. Ein Angreifer könnte dadurch sensible Daten erlangen oder Speicherressourcen verbrauchen. Der Angriff nennt sich XML External Entity Injection (XXE) (CVE-2022-22489, CVSS 8.2, Risiko "hoch"). Laut der Sicherheitsmeldung von IBM findet sich der Fehler in IBM MQ 8.0, 9.0 LTS, 9.1 CD, 9.1 LTS, 9.2 CD sowie 9.2 LTS. Darin verlinkt der Hersteller auch die aktualisierte Software.

Weitere Schwachstellen reißt die mitgelieferte libcurl-Bibliothek auf. IBM MQ Server- und nicht-Java-Client-Installationen setzen auf deren HTTPURL-Funktion zum Herunterladen der entfernten CCDT-Dateien. Angreifer könnten Sicherungen umgehen, da cURL libcurl mit Prozentzeichen kodierte URL-Trennzeichen wie '/' fälschlicherweise akzeptiert. Durch einen sorgsam präparierten Hostnamen in der URL könnte ein Angreifer daher URL-Filter umgehen (CVE-2022-27780, CVSS 7.5, hoch).

Außerdem könnten Angreifer an sensible Informationen gelanden, da sich in libcurl ein sogenannter HSTS-Check umgehen lässt. HTTP Strict Transport Security-Checks sollen Man-in-the-Middle-Angriffe verhindern. Mit einem manipulierten Hostnamen mit abschließendem Punkt in der URL könnten bösartige Akteure die Lücke missbrauchen, Informationen mittels Klartext-HTTP zu erhalten und auf deren Basis weitere Angriffe gegen betroffene Systeme starten (CVE-2022-30115, CVSS 7.5, hoch).

Die libcurl-Fehler finden sich in IBM MQ 9.0 LTS, 9.1 CD, 9.1 LTS, 9.2 CD und 9.2 LTS. Links auf Software-Flicken stellt IBM in der Sicherheitsmeldung zur Verfügung.

Da IBM die Lücken als hohes Risiko einstuft, sollten Administratoren der MQ-Middleware sehr zügig ein Wartungsfenster einplanen, um die Aktualisierungen herunterzuladen und zu installieren. Das reduziert die Angriffsfläche für Cyberkriminelle deutlich. Dritthersteller-Komponenten sind in IBMs MQ öfter ein Problem. Vor rund sechs Wochen waren bereits Updates für die Middleware nötig, da Angreifer ihre Rechte durch Sicherheitslücken darin hätten ausweiten können.

(dmk)