Data Risk Manager

Die Schwachstelle betrifft den IBM Data Risk Manager, eine Lösung zur Erfassung und Bewertung von Informationsrisiken im Unternehmen. Über sie kann ein bereits am System angemeldeter Angreifer aus der Ferne beliebige Befehle auf dem zugrunde liegenden System ausführen. Voraussetzung ist also ein gültiger Zugang – die Lücke lässt sich nicht ohne vorherige Anmeldung ausnutzen. Gelingt der Angriff dennoch, führt das betroffene System die eingeschleusten Befehle aus, sodass der Angreifer eigene Aktionen auf der Maschine anstoßen und auf diesem Weg die Kontrolle über die Anwendung und ihren Host gewinnen kann. Die genaue technische Ursache des Defekts wird in den verfügbaren Angaben nicht näher beschrieben. Da der Data Risk Manager naturgemäß sensible Risiko- und Sicherheitsdaten verarbeitet und mit angebundenen Systemen kommuniziert, ist eine solche Befehlsausführung besonders folgenreich für die Vertraulichkeit und Integrität der dort zusammenlaufenden Informationen.