Mehrere Komponenten von IBM Spectrum Protect sind verwundbar und Angreifer könnten damit eingerichtete Backup-Infrastrukturen attackieren. Aktualisierte Versionen der Software lösen die Sicherheitsprobleme. Wie man den Warnmeldungen entnehmen kann, sind unter anderem die Komponenten Node.js OpenSSH und Python betroffen. Sind Attacken erfolgreich, könnten Angreifer beispielsweise durch das Versenden von präparierten Anfragen an Backup-Server DoS-Zustände auslösen, sodass die Anwendung abstürzt oder sogar eigene Befehle ausführen. Auch der Zugriff auf eigentlich verschlüsselte Daten ist vorstellbar. Davon sind die Systeme AIX, Linux und Windows betroffen. Am gefährlichsten gilt eine Sicherheitslücke in IBM Db2 (CVE-2021-29678 „hoch“). Setzen Angreifer erfolgreich an der Schwachstelle an, könnten sie mit DBADM-Befugnis ausgestattet Datenbanken modifizieren. Die gegen die geschilderten Attacken abgesicherten Versionen findet man in den Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:
- Vulnerabilities in IBM Db2 affect IBM Spectrum Protect Server (CVE-2021-38931, CVE-2021-29678, CVE-2021-20373, CVE-2021-39002, CVE-2021-38926)
- Vulnerabilities in Polkit, Node.js, OpenSSH, and Golang Go affect IBM Spectrum Protect Plus (CVE-2021-4034, CVE-2022-21681, CVE-2022-21680, CVE-2022-0235, CVE-2021-41617, CVE-2021-44716, CVE-2021-44717, 218243)
- IBM WebSphere Application Server Liberty vulnerabilities affect IBM Spectrum Protect Backup-Archive Client, IBM Spectrum Protect for Virtual Environments, and IBM Spectrum Protect for Space Management (CVE-2021-35517, CVE-2021-36090)
- Vulnerabilities in Celery, Golang Go, and Python affect IBM Spectrum Protect Plus Container Backup and Restore for Kubernetes and Red Hat OpenShift
- Vulnerabilities in IBM Java Runtime and Golang Go affect IBM Spectrum Protect Server (CVE-2021-35578, CVE-2021-44716, CVE-2021-44717)
- Vulnerability in Flask and Python affects IBM Spectrum Protect Plus Microsoft File Systems Backup and Restore (CVE-2021-33026, CVE-2022-0391)
- IBM Spectrum Protect Plus is vulnerable to PostgreSQL Man-in-the-Middle and Slowloris Denial of Service attacks (CVE-2021-23222, CVE-2022-22354)
- Reverse Tabnabbing and Cross-Site Request Forgery vulnerabilities in IBM Spectrum Protect Operations Center (CVE-2020-22348, CVE-2020-22346)