IBM Storage Virtualize 漏洞允许攻击者执行任意代码

IBM 针对影响其 Storage Virtualize 产品套件（包括 SAN Volume Controller、Storwize 和 FlashSystem 系列）的两个高严重性漏洞（CVE-2025-0159、CVE-2025-0160）发布了紧急安全公告。

这些缺陷使攻击者能够绕过身份验证并通过图形用户界面 （GUI） 远程执行任意代码，从而对企业存储环境构成重大风险。

关键身份验证绕过和代码执行风险

漏洞集中在 RPCAdapter 服务上，该服务是一个在 IBM 存储系统中支持远程过程调用的组件。

CVE-2025-0159 （CVSS 9.1） 利用 RPCAdapter 端点中不正确的身份验证机制。攻击者可以制作包含特殊格式标头的恶意 HTTP 请求，以完全绕过凭证检查。

这允许在缺少有效令牌或证书的情况下未经授权访问管理功能。通过 CVE-2025-0159 进行身份验证后，攻击者可以利用 CVE-2025-0160 （CVSS 8.1） 来执行任意 Java 代码。

该漏洞是由于 RPCAdapter 的反序列化过程中的沙箱不足而引起的，允许攻击者通过纵的 RPC 负载加载恶意类文件。

这种双重漏洞利用链使整个系统遭到破坏，包括：

• 从存储卷中泄露数据

• 跨复制系统部署勒索软件

• 从连接的管理界面收集凭证

IBM 确认命令行界面 （CLI） 不受影响，因为漏洞与与 RPCAdapter 服务交互的 GUI 组件隔离。

受影响的产品和版本

这些缺陷影响了几乎所有运行 8.5.0.0 至 8.7.2.1 版本的 IBM Storage Virtualize 部署，包括：

• SAN Volume 控制器

• Storwize V5000/V7000 系列

• FlashSystem 5×00、7×00、9×00 型号

• 面向公共云的 Spectrum Virtualize

详细的版本矩阵揭示了多个代码分支中的风险：

• 8.5.x：8.5.0.13、8.5.1.0、8.5.2.3、8.5.3.1 和 8.5.4.0 之前的所有版本

• 8.6.x：8.6.0.5、8.6.2.1 和 8.6.3.0 及以下版本

• 8.7.x：8.7.0.2 和 8.7.2.1 及以下版本

补救措施：立即修补

IBM 要求立即升级到固定代码级别：

• 8.5.0.14 for 8.5.0.x 部署

• 8.6.0.6 适用于 8.5.1–8.5.4 和 8.6.0.x

• 8.7.0.3 适用于 8.6.1–8.6.3 和 8.7.0.x

• 8.7.2.2 用于 8.7.1–8.7.2.1 安装

值得注意的是，较旧的分支需要迁移到受支持的版本，如 8.6.x，这反映了 IBM 向长期支持 （LTS） 版本的转变。

管理员必须通过 IBM 的 Fix Central 门户下载更新。特定于平台的补丁可用于 FlashSystem 5000/5200/7200/9500 和 SAN Volume Controller 节点。

缺乏可行的解决方法加剧了紧迫性。虽然网络分段和防火墙规则理论上可以限制暴露，但 IBM 强调，修补仍然是唯一确定的缓解措施。

原文来自: cybersecuritynews.com