Kritiek lek in IBM API Connect
Beveiligingsexperts waarschuwen voor een kritieke kwetsbaarheid in IBM API Connect, een veelgebruikt platform voor het beheren en beveiligen van API's. Door een fout in het systeem, geregistreerd onder code CVE-2025-13915, kunnen aanvallers op afstand de volledige authenticatie omzeilen en zonder inloggegevens toegang krijgen tot gevoelige applicaties en data.
De kwetsbaarheid heeft de hoogst mogelijke ernstscore gekregen van 9.8 op een schaal van 10 (CRITICAL). Dit komt omdat een aanvaller geen speciale rechten nodig heeft, geen interactie van een gebruiker vereist is en de aanval eenvoudig via het internet kan worden uitgevoerd.
Wat is er aan de hand?
De fout bevindt zich in de manier waarop IBM API Connect identiteiten controleert. In getroffen versies kan een kwaadwillende de beveiligingsmechanismen "fnuiken", waardoor het systeem denkt dat de aanvaller een legitieme, geautoriseerde gebruiker is.
Zodra de toegang is verkregen, heeft de aanvaller de mogelijkheid om:
- Vertrouwelijke gegevens in te zien (Confidentiality).
- Gegevens aan te passen of te verwijderen (Integrity).
- De beschikbaarheid van de dienst te verstoren (Availability).
Getroffen versies
Volgens het officiƫle beveiligingsadvies van de IBM Corporation zijn de volgende versies kwetsbaar:
- IBM API Connect 10.0.8.0 tot en met 10.0.8.5
- IBM API Connect 10.0.11.0
Oplossing en advies
IBM heeft inmiddels informatie gepubliceerd over hoe dit lek gedicht kan worden. Systeembeheerders en security-teams die gebruikmaken van API Connect worden dringend geadviseerd om de beschikbare patches direct te installeren. Omdat API-gateways vaak de "voordeur" vormen naar de achterliggende infrastructuur van banken, overheden en grote webshops, is het risico op grootschalige schade bij misbruik aanzienlijk.
NIST (National Institute of Standards and Technology) houdt de situatie nauwlettend in de gaten en verrijkt de database momenteel met verdere technische details voor beveiligingsanalisten.
Meer over Security
Over Witold Kepinski
