کشف آسیبپذیری در IBM Cloud Pak System
IBM Cloud Pak System یک ابزار همه کاره IBM است که راهاندازی و مدیریت محیطهای ابری خصوصی را برای انواع مختلف برنامهها آسان میکند و اخیرأ یک آسیبپذیری با شناسه CVE-2023-38273 و شدت بالا (7.5) برای آن کشف شده است. طبق بررسیهای صورت گرفته، سیستم IBM Cloud Pak دارای یک نقص امنیتی در تنظیمات قفل حساب خود است. این نقص به طور بالقوه میتواند از راه دور به مهاجم اجازه دهد تا به طور مکرر رمزهای عبور مختلف را امتحان کند تا زمانی که رمز عبور صحیح را پیدا کند، بدون آنکه مسدود یا قفل شود. به این نقص امنیتی در واقع همان حمله Brute Force میباشد.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی پایین یا بالا ندارد (PR: N)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و با بهرهبرداری از آن، دو ضلع از سه ضلع امنیت با شدت زیاد تحت تأثیر قرار میگیرد.
محصولات تحت تأثیر
نسخههای 2.3.1.1 ، 2.3.2.0 و 2.3.3.7 این محصول، تحت تأثیر نقص امنیتی مذکور قرار خواهند گرفت.
توصیههای امنیتی
به کاربران توصیه میشود IBM Cloud Pak System را به آخرین نسخه منتشر شده، بهروزرسانی کنند.