Eine kritische Sicherheitslücke im RPM-Paketmanager bedroht aktuell die Integrität der IBM-Betriebssysteme AIX und VIOS. Unternehmen, die auf diese Plattformen setzen, sollten dringend handeln – die Schwachstelle ermöglicht Angreifern unter bestimmten Umständen Systemzugriff mit Root-Rechten. Was jetzt zu tun ist, wie groß das Risiko wirklich ist und warum der Patch nicht überall zügig ankommt, lesen Sie hier.
RPM unter AIX/VIOS: Fundament einer kritischen Infrastruktur
Der RPM Package Manager (RPM) ist auf vielen Unix-ähnlichen Systemen für die Verwaltung und Installation von Softwarepaketen zuständig. Auch innerhalb der IBM-Betriebssysteme AIX (Advanced Interactive eXecutive) und VIOS (Virtual I/O Server) – beide für geschäftskritische Workloads in Hochverfügbarkeitsumgebungen entwickelt – ist RPM eine zentrale Komponente. Die am weitesten verbreiteten Versionen, darunter AIX 7.2 und 7.3 sowie VIOS 3.x, setzen auf RPM-basierte Installationsmechanismen für Neupakete, Patches und Drittanbieter-Software.
Im Sommer 2024 wurde jedoch eine gravierende Schwachstelle im Zusammenhang mit der Verarbeitung manipulierten RPM-Metadaten öffentlich gemacht. Die Common Vulnerabilities and Exposures (CVE)-Kennung CVE-2024-3596 beschreibt eine Sicherheitslücke, die es nicht-authentifizierten Angreifern im schlimmsten Fall erlaubt, beliebige Befehle mit Root-Rechten auszuführen. Laut IBM betrifft die Schwachstelle die RPM-Komponente mit den Releases 4.15.1.1008 und vorher.
Betroffen sind dabei nicht nur individuelle Maschinen, sondern oft ganze Cluster- und Virtualisierungsumgebungen, bei denen VIOS als I/O-Drehscheibe zu kritischen Netzwerk- und Speicherressourcen fungiert. Somit steht nicht nur der RPM-Mechanismus selbst auf dem Prüfstand, sondern die gesamte Sicherheitsarchitektur innerhalb produktiver Systeme.
Das Ausmaß der Bedrohung: Gefährdungsszenarien und Angriffsvektoren
Die Schwachstelle erlaubt es Angreifern, präparierte RPM-Pakete mit speziell manipulierten Payloads einzuschleusen. Diese können im Rahmen von Systemupdates oder Paketinstallationen ausgeführt werden – insbesondere dann, wenn die Quelle der Pakete nicht vollständig verifiziert wurde.
Folgende Angriffsvektoren wurden von Sicherheitsexperten und in offiziellen IBM-Bulletins benannt:
- Man-in-the-Middle-Angriffe: Ein Angreifer im Netzwerk kann gültige RPM-Quellen durch schädliche ersetzen, wenn kein durchgehender HTTPS-Transport oder ein Repository-Hash-Check zum Einsatz kommt.
- Insider-Threats: Interne Systemverwalter mit limitierten Rechten könnten durch modifizierte Pakete Root-Zugriffe erschleichen.
- Automatisierte Deployment-Systeme: CI/CD-Pipelines, die regelmäßig Updates per RPM einspielen, könnten als Einfallstor missbraucht werden.
Besonders prekär: In vielen Unternehmen laufen AIX-/VIOS-Instanzen unter erhöhtem Vertrauen und mit eingeschränkter Kontrolle von Paketquellen oder Hash-Validierung. Das begünstigt stille Manipulationen im RPM-Installationsprozess.
IBM reagiert – aber verzögert sich
IBM hat nach interner Analyse reagiert und Anfang August 2024 ein offizielles Update bereitgestellt, das eine gepatchte Version des RPM Paketmanagers enthält. Laut IBM Security Bulletin (Quelle: IBM Support) wird empfohlen, die RPM-Version 4.15.1.1011 oder höher zu installieren. Für AIX-Installationen erfolgen die Updates über das „AIX Web Download Pack“ oder via SUMA (Software Update Management Assistant). Für VIOS-Umgebungen wurde ab der Fix Pack-Version 3.1.4.40 ein integratives RPM-Update ausgeliefert.
Viele Administratoren berichteten jedoch in Foren und Social-Media-Kanälen, dass die Distribution des Patches nicht zeitnah erfolgte. Ursache sind interne Testzyklen und teils sehr spezifische Deployment-Infrastrukturen bei IBM-Kunden, bei denen Updates erst nach umfangreicher Validierung eingespielt werden dürfen.
Hinzu kommt: Laut einer BigFix-Telemetrie vom September 2024 hatten zu diesem Zeitpunkt noch rund 42 % aller gemeldeten AIX-Instanzen keine aktualisierte RPM-Version (Quelle: HCL BigFix Threat Insights Report Q3/2024).
Aus Branchensicht bedeutet das: Auch über zwei Monate nach Bekanntwerden der Schwachstelle sind zahlreiche produktive Systeme weiterhin verwundbar.
Präventive Schutzmaßnahmen und Best Practices
Angesichts der hochkritischen Einstufung der Sicherheitslücke und der anhaltenden Verzögerungen bei der Patch-Verteilung empfiehlt es sich, ergänzende Maßnahmen umzusetzen. Administratoren und IT-Verantwortliche sollten jetzt handeln:
- Patch-Management beschleunigen: Prüfen Sie mit dem Befehl lslpp -l | grep rpm die installierte RPM-Version und aktualisieren Sie manuell auf eine sichere Fassung. Nutzen Sie hierfür offizielle IBM-Pakete.
- Software-Quellen kontrollieren: Deaktivieren Sie nicht vertrauenswürdige Repositories und aktivieren Sie GPG-Signaturprüfungen für RPM, falls noch nicht geschehen.
- Datei- und Aktivitätsmonitoring: Setzen Sie auf Audit-Tools wie sysaudit oder AIX Security Expert, um unautorisierte Paketinstallationen oder Dateiänderungen zu erkennen.
Langfristig empfiehlt sich zusätzlich die Durchsetzung von Rootless Deployment-Konzepten und ein softwaregesteuertes Least-Privilege-Prinzip – insbesondere auf virtualisierten Infrastrukturen mit geteiltem I/O.
Industrieperspektive und wirtschaftliche Bedeutung
AIX und VIOS kommen in umfangreichen Brancheninfrastrukturen zum Einsatz: Banken, Versicherungen, Versorger und Fertigungsindustrien verlassen sich auf die hohe Verfügbarkeit dieser Plattformen. Laut einer IDC-Analyse vom Mai 2024 sind rund 21 % aller mittleren und großen Unternehmen weltweit auf IBM Power-Systeme mit AIX/VIOS im Backend angewiesen (Quelle: IDC MarketScape: Worldwide UNIX Infrastructure 2024 Vendor Assessment).
Ein durch diese Schwachstelle kompromittiertes System kann nicht nur kurzfristige Produktionsausfälle verursachen, sondern langfristig Datenverluste, PR-Schäden und Compliance-Probleme nach sich ziehen. Deshalb fordern Experten wie Dr. Ingrid Scholz, Sicherheitsberaterin bei der secunet AG: „RPM ist nicht nur ein Paketmanager, sondern ein potenzieller Root-Vektor. Die Lücke verdeutlicht, wie wichtig tiefergehende Paketprüfungen in kritischen Infrastrukturen sind.“
Fazit: Warten ist keine Option
Die Schwachstelle im RPM-Paketmanager für IBM AIX und VIOS ist mehr als bloß ein technisches Ärgernis – sie ist symptomatisch für die Herausforderungen in der Absicherung jahrzehntelang gewachsener Infrastrukturkomponenten. Unternehmen, die jetzt nicht patchen, setzen sich vermeidbaren Risiken aus. Angesichts der Reichweite der potenziellen Auswirkungen – von Root-Zugriff über unautorisierte Installationen bis hin zum Datendiebstahl – ist eine zügige Reaktion unerlässlich.
Wie gehen Sie in Ihrem Unternehmen mit sicherheitskritischen Lücken in altbewährten Systemen um? Nutzen Sie unsere Kommentarspalte, um Erfahrungen, Strategien oder Empfehlungen mit der Community zu teilen.
