Aspera Faspex

Die Schwachstelle steckt in der Dateiübertragungs-Software IBM Aspera Faspex und beruht auf einem Fehler bei der sogenannten YAML-Deserialisierung – also beim Einlesen und Umwandeln strukturierter Daten zurück in Objekte. Faspex prüft dabei nicht ausreichend, was es verarbeitet. Ausnutzen lässt sich der Defekt aus der Ferne und ohne vorherige Anmeldung: Ein Angreifer sendet einen gezielt präparierten Aufruf an eine veraltete, eigentlich überholte Programmierschnittstelle (API) der Software. Über die manipulierten Daten in diesem Aufruf bringt er das System dazu, eigenen Code auszuführen. Im Ergebnis kann der Angreifer beliebige Befehle auf dem betroffenen Server ausführen und so die Kontrolle über das System erlangen. Die verantwortliche veraltete API-Funktion wurde vom Hersteller in einer neueren Programmversion vollständig entfernt. Betroffen sind Installationen, in denen diese ältere Schnittstelle noch vorhanden und über das Netz erreichbar ist.