Vulnerabilidades de segurança do IBM Cloud Pak expõem dados confidenciais a invasores.
A IBM divulgou recentemente uma série de vulnerabilidades de segurança significativas em sua plataforma Cloud Pak for Business Automation, levantando alarmes sobre a potencial exposição de dados confidenciais a agentes mal-intencionados.
Os problemas de segurança, detalhados em um boletim oficial publicado em 4 de fevereiro de 2025, afetam várias versões do ecossistema Cloud Pak e componentes de software livre associados.
Visão geral das vulnerabilidades
As vulnerabilidades abrangem uma ampla gama de componentes usados na plataforma IBM Cloud Pak, incluindo Java, bibliotecas Apache e outras dependências de software livre.
Entre os problemas mais graves está o CVE-2024-47554, que envolve o Apache Commons IO e permite que os invasores explorem falhas no consumo de recursos, potencialmente travando servidores e permitindo ataques de negação de serviço (DoS).
Outra vulnerabilidade crítica, CVE-2024-47764, encontrada no módulo de cookie jshttp, permite que invasores remotos ignorem as restrições de segurança e alterem os campos de cookies, apresentando riscos de acesso não autorizado a sistemas confidenciais.
Além disso, uma vulnerabilidade OpenSSL (CVE-2024-5535) envolve uma falha de leitura excessiva de buffer, potencialmente expondo conteúdo de memória sensível durante as comunicações TLS. Essas fraquezas podem ser exploradas ainda mais para extrair dados confidenciais ou elevar os níveis de privilégio.
Impacto nos usuários do Cloud Pak
As organizações que usam versões afetadas do IBM Cloud Pak for Business Automation correm o risco de interrupções operacionais significativas e possíveis violações. A exploração dessas vulnerabilidades pode permitir que os invasores:
- Roube dados confidenciais, como credenciais de usuário e configurações do sistema.
- Execute código arbitrário remotamente, levando ao comprometimento do sistema.
- Cause interrupções parciais ou completas do serviço por meio de ataques sofisticados, como DoS.
O boletim destaca que agentes mal-intencionados podem aproveitar esses ataques para se infiltrar e explorar sistemas corporativos, principalmente quando versões não corrigidas permanecem em uso.
Sistemas afetados e correções
As seguintes versões do Cloud Pak são afetadas:
- Versões 24.0.0 a 24.0.0-IF003.
- Versões anteriores, incluindo v21.0.3 e v23.0.2.
A IBM lançou correções críticas, incluindo os patches de segurança 24.0.0-IF004 e 21.0.3-IF039, para resolver essas vulnerabilidades.
Todos os usuários de versões anteriores são aconselhados a atualizar para a versão mais recente ou aplicar os iFixes de segurança imediatamente.
A IBM recomenda que todos os clientes executem as seguintes ações:
- Aplicar patches: baixe e aplique as atualizações de segurança disponíveis para os componentes afetados.
- Sistemas de auditoria: Realize uma revisão abrangente da segurança do sistema para identificar a possível exploração dessas vulnerabilidades.
- Monitore a atividade: estabeleça um monitoramento aprimorado para detectar atividades incomuns em ambientes de nuvem.
As vulnerabilidades destacam a crescente ameaça representada por bibliotecas de código aberto não corrigidas incorporadas em soluções corporativas.
A IBM enfatizou a importância de atualizações proativas e auditorias regulares de segurança para mitigar esses riscos.
À medida que as preocupações com a segurança continuam a aumentar em plataformas corporativas altamente interconectadas, as organizações que dependem de soluções como o IBM Cloud Pak devem permanecer vigilantes para manter defesas robustas contra ameaças cibernéticas sofisticadas.
Boletim de segurança
Várias vulnerabilidades de segurança foram abordadas com o IBM Cloud Pak for Business Automation iFixes para dezembro de 2024 e janeiro de 2025
Resumo
Várias vulnerabilidades de segurança são tratadas com o IBM Cloud Pak for Business Automation 21.0.3-IF039 e 24.0.0-IF004.
Produtos e versões afetados
| Produto(s) afetado(s) | Versão(ões) | Estado |
| IBM Cloud Pak para Automação de Negócios | V24.0.0 – V24.0.0-IF003 | Afetado |
| IBM Cloud Pak para Automação de Negócios | V23.0.2 todas as correções V23.0.1 todas as correções V22.0.2 todas as correções V22.0.1 todas as correções | Afetado |
| IBM Cloud Pak para Automação de Negócios | V21.0.3 – V21.0.3-IF038 | Afetado |
| IBM Cloud Pak para Automação de Negócios | V21.0.1 todas as correções V20.0.1 – V20.0.3 V19.0.1 – V19.0.3 V18.0.0 – V18.0.2 | Afetado |
Remediação/Correções
| Produto(s) afetado(s) | Versão(ões) | Remediação / Correção |
| IBM Cloud Pak para Automação de Negócios | V24.0.0 – V24.0.0-IF003 | Aplique a correção de segurança 24.0.0-IF004 ou atualize para V24.0.1 |
| IBM Cloud Pak para Automação de Negócios | V23.0.2 todas as correções V23.0.1 todas as correções V22.0.2 todas as correções | Atualize para 24.0.0-IF004 ou V24.0.1 |
| IBM Cloud Pak para Automação de Negócios | V21.0.3 – V21.0.3-IF038 | Aplique a correção de segurança 21.0.3-IF039 ou atualize para 24.0.0-IF004 ou V24.0.1 |
| IBM Cloud Pak para Automação de Negócios | V21.0.1 todas as correções V20.0.1 – V20.0.3 V19.0.1 – V19.0.3 V18.0.0 – V18.0.2 | Atualize para 21.0.3-IF039 ou 24.0.0-IF004 ou V24.0.1 |
Qualquer biblioteca de software livre pode ser incluída em um ou mais subcomponentes do IBM Cloud Pak for Business Automation. As atualizações de software livre nem sempre são sincronizadas em todos os componentes. O CVE neste boletim é especificamente abordado por
| CVE ID | Componente |
| IBM X-Force ID 168617 | CP4BA – operadores |
| 255317 de ID do IBM X-Force | CP4BA – operadores |
| IBM X-Force ID 271691 | CP4BA – operadores |
| 350769 de ID do IBM X-Force | CP4BA – operadores |
| IBM X-Force ID 350770 | CP4BA – operadores |
| IBM X-Force ID 350771 | CP4BA – operadores |
| IBM X-Force ID 350772 | CP4BA – operadores |
| ID do IBM X-Force 386108 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2015-5739 | CP4BA – operadores |
| CVE-2016-5386 | CP4BA – operadores |
| CVE-2020-15115 | CP4BA – operadores |
| CVE-2021-43784 | CP4BA – operadores |
| CVE-2022-24999 | IBM Cloud Pak para Automação de Negócios |
| CVE-2023-0833 | CP4BA – Serviços de Decisão de Automação |
| CVE-2023-0833 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2023-24329 | CP4BA – Padrão de demonstração |
| CVE-2023-2953 | CP4BA – operadores |
| CVE-2023-31442 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2023-39325 | CP4BA – operadores |
| CVE-2023-3978 | CP4BA – operadores |
| CVE-2023-41105 | CP4BA – Padrão de demonstração |
| CVE-2023-44487 | CP4BA – operadores |
| CVE-2023-45287 | CP4BA – operadores |
| CVE-2023-45288 | CP4BA – Workflow de Automação Comercial |
| CVE-2023-45288 | CP4BA – Padrão de demonstração |
| CVE-2023-45288 | CP4BA – operadores |
| CVE-2023-48161 | IBM Cloud Pak para Automação de Negócios |
| CVE-2023-48795 | CP4BA – operadores |
| CVE-2023-50314 | IBM Cloud Pak para Automação de Negócios |
| CVE-2023-50314 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2023-50387 | CP4BA – Padrão de demonstração |
| CVE-2023-50868 | CP4BA – Padrão de demonstração |
| CVE-2024-0450 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-0727 | CP4BA – Padrão de demonstração |
| CVE-2024-0760 | CP4BA – Padrão de demonstração |
| CVE-2024-11053 | CP4BA – Padrão de demonstração |
| CVE-2024-1737 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-1737 | CP4BA – Padrão de demonstração |
| CVE-2024-1975 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-1975 | CP4BA – Padrão de demonstração |
| CVE-2024-21131 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-21138 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-21140 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-21144 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-21145 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-21147 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-21208 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-21210 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-21217 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-21235 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-21536 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-21536 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2024-21538 | CP4BA – Componente do Business Automation Studio |
| CVE-2024-21538 | CP4BA – Workflow de Automação Comercial |
| CVE-2024-21538 | CP4BA – Componente de interface do usuário comum do Business Automation Studio |
| CVE-2024-21626 | CP4BA – operadores |
| CVE-2024-24557 | CP4BA – operadores |
| CVE-2024-24786 | CP4BA – operadores |
| CVE-2024-24788 | CP4BA – Padrão de demonstração |
| CVE-2024-24791 | CP4BA – Padrão de demonstração |
| CVE-2024-25062 | CP4BA – operadores |
| CVE-2024-27267 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-28168 | CP4BA – Workflow de Automação Comercial |
| CVE-2024-28182 | CP4BA – operadores |
| CVE-2024-29857 | CP4BA – Componente do Servidor de Federação de Processos |
| CVE-2024-29857 | CP4BA – Serviços de Decisão de Automação |
| CVE-2024-30171 | CP4BA – Serviços de Decisão de Automação |
| CVE-2024-30172 | CP4BA – Serviços de Decisão de Automação |
| CVE-2024-30260 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2024-30261 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2024-3154 | CP4BA – operadores |
| CVE-2024-34155 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-34156 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-34158 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-35255 | CP4BA – Componente de aplicação de automação comercial |
| CVE-2024-3727 | CP4BA – operadores |
| CVE-2024-37370 | CP4BA – Padrão de demonstração |
| CVE-2024-37371 | CP4BA – Padrão de demonstração |
| CVE-2024-38428 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-38808 | CP4BA – Workflow de Automação Comercial |
| CVE-2024-38816 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-38820 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-39249 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2024-39338 | CP4BA – Componente de Insights de Automação de Negócios |
| CVE-2024-39338 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2024-39338 | CP4BA – Componente do Business Automation Studio |
| CVE-2024-39338 | CP4BA – Componente de interface do usuário comum do Business Automation Studio |
| CVE-2024-39338 | CP4BA – Workflow de Automação Comercial |
| CVE-2024-40094 | CP4BA – Imagens Base |
| CVE-2024-40094 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-40094 | CP4BA – Componente do Serviço de Gerenciamento de Usuários |
| CVE-2024-4067 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-4076 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-4076 | CP4BA – Padrão de demonstração |
| CVE-2024-43796 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-43799 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2024-43799 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-43800 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2024-43800 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-45296 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2024-45296 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-45296 | CP4BA – Componente de aplicação de automação comercial |
| CVE-2024-45337 | CP4BA – Padrão de demonstração |
| CVE-2024-45590 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-45590 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2024-47076 | CP4BA – Padrão de demonstração |
| CVE-2024-47175 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-47175 | CP4BA – Padrão de demonstração |
| CVE-2024-47175 | CP4BA – Componente do Servidor de Federação de Processos |
| CVE-2024-47176 | CP4BA – Padrão de demonstração |
| CVE-2024-47177 | CP4BA – Padrão de demonstração |
| CVE-2024-47554 | CP4BA – Workflow de Automação Comercial |
| CVE-2024-47554 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-47554 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-47561 | CP4BA – Núcleo de Insights de Automação de Negócios |
| CVE-2024-47561 | CP4BA – Serviços de Decisão de Automação |
| CVE-2024-47764 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-48910 | CP4BA – Componente de Processamento de Documentos de Automação |
| CVE-2024-49348 | CP4BA – Workflow de Automação Comercial |
| CVE-2024-52364 | CP4BA – Workflow de Automação Comercial |
| CVE-2024-52365 | CP4BA – Workflow de Automação Comercial |
| CVE-2024-5535 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-6119 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-7006 | IBM Cloud Pak para Automação de Negócios |
| CVE-2024-7254 | CP4BA – Componente do Gestor de Decisão Operacional |
| CVE-2024-7254 | CP4BA – Serviços de Decisão de Automação |
Soluções alternativas e mitigações
Nenhum
Mais detalhes sobres as CVS pode ser vistas no site de Suporte da IBM
Fonte: GBHackers & IBM
Veja também:
- Vemos você usando o Gemini para phishing e scripts
- Amazon apresenta recursos para evitar vazamentos de dados
- Avaliação do risco de segurança no DeepSeek
- Netgear corrige bugs críticos
- Hackers usam AWS e Azure para ataques cibernéticos em larga escala
- DeepSeek Jailbreak revela todo o prompt do sistema
- DeepSeek expõe banco de dados com mais de 1 milhão de registros de bate-papo
- Tata Technologies atingida por ataque de ransomware
- Rosto Fantasma: alerta de vulnerabilidade crítica
- Prompt de chatbot de IA cria uma lista de exclusão de senha
- Fortinet Zero-Day dá Privilégios de Superadministrador
- Evolução dos Métodos de Resfriamento a Água Gelada
Be the first to comment