- Πολλαπλές ευπάθειες απειλούν το σύστημα διαχείρισης βάσεων δεδομένων IBM Db2, επιτρέποντας σε επιτιθέμενους να αποκτήσουν δικαιώματα Root.
- Η IBM κυκλοφόρησε διορθωτικά patches για 17 συνολικά κενά ασφαλείας, δύο εκ των οποίων χαρακτηρίζονται ως υψηλού κινδύνου.
- Οι εκδόσεις που δεν υποστηρίζονται πλέον (End-of-Life) παραμένουν εκτεθειμένες και απαιτούν άμεση αναβάθμιση.
Επιθέσεις Root στην IBM Db2: Πολλαπλά κενά ασφαλείας απειλούν βάσεις δεδομένων
Πολλαπλά κενά ασφαλείας θέτουν σε κίνδυνο το σύστημα διαχείρισης βάσεων δεδομένων IBM Db2.
Σε πρωταρχικό επίπεδο, οι περιπτώσεις (instances) του συστήματος κινδυνεύουν με κατάρρευση, αλλά οι κίνδυνοι επεκτείνονται περαιτέρω.
Οι επιτιθέμενοι μπορούν να στοχεύσουν υπολογιστές που τρέχουν IBM Db2, να αποκτήσουν στη χειρότερη περίπτωση δικαιώματα Root και στη συνέχεια να παραβιάσουν πλήρως τα συστήματα.
Τα νέα patches ασφαλείας επιλύουν αυτό το ζήτημα καθώς και αρκετά άλλα. Μέχρι στιγμής, δεν υπάρχουν αναφορές ότι οι επιτιθέμενοι εκμεταλλεύονται ήδη ενεργά αυτά τα κενά.
Διαθέσιμα Patches για 17 Ευπάθειες
Το σύστημα διαχείρισης βάσεων δεδομένων είναι συνολικά ευάλωτο μέσω 17 κενών ασφαλείας λογισμικού. Δύο από αυτά (CVE-2025-36384, CVE-2025-36184) έχουν ταξινομηθεί με βαθμό απειλής «υψηλό».
- Στην πρώτη περίπτωση (CVE-2025-36384), οι επιτιθέμενοι με πρόσβαση στο σύστημα αρχείων μπορούν να αποκτήσουν υψηλότερα δικαιώματα (privilege escalation).
- Στη δεύτερη περίπτωση (CVE-2025-36184), αυτό είναι εφικτό μέχρι και το επίπεδο του χρήστη Root.
- Σε μια τέτοια θέση, θεωρείται βέβαιο ότι οι επιτιθέμενοι αποκτούν τον πλήρη έλεγχο των συστημάτων.
Η απόκτηση πρόσβασης Root (υπερ-χρήστη) σημαίνει ότι ο επιτιθέμενος έχει απεριόριστο έλεγχο στο λειτουργικό σύστημα, μπορώντας να διαβάσει, να τροποποιήσει ή να διαγράψει οποιοδήποτε αρχείο.
Για την αντιμετώπιση αυτών των περιπτώσεων, διατίθενται οι ενημερώσεις ασφαλείας Special Build #66394 για το IBM Db2 11.5.9, Special Build #71609 για το 12.1.3 και το αντίστοιχο Special Build για το 12.1.2.
Οι προγραμματιστές της IBM επισημαίνουν ότι πιθανότατα απειλούνται και εκδόσεις που δεν βρίσκονται πλέον σε καθεστώς υποστήριξης (support). Αυτές οι εκδόσεις δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας και, ως εκ τούτου, παραμένουν ευάλωτες.
Σε αυτές τις περιπτώσεις, οι διαχειριστές συστημάτων πρέπει να προχωρήσουν σε αναβάθμιση σε μια υποστηριζόμενη έκδοση.
Πρόσθετοι κίνδυνοι και DoS επιθέσεις
Τα υπόλοιπα κενά ασφαλείας έχουν ταξινομηθεί ως «μεσαίας» σοβαρότητας. Σε αυτά τα σημεία, οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν παραποιημένα αιτήματα (manipulated queries) για να προκαλέσουν καταστάσεις άρνησης υπηρεσίας (DoS – Denial of Service).
Πρόσφατα, οι προγραμματιστές έκλεισαν επίσης ένα κρίσιμο κενό ασφαλείας στο IBM Db2 Big SQL, υπογραμμίζοντας την ανάγκη για συνολική ενημέρωση του οικοσυστήματος της IBM.
Πίνακας: Λίστα ευπαθειών (Ταξινομημένη κατά σοβαρότητα)
| CVE ID | Περιγραφή Ευπάθειας | Τύπος Απειλής |
|---|---|---|
| CVE-2025-36384 | Privilege escalation λόγω μη προστατευμένου στοιχείου διαδρομής αναζήτησης. | High (Privilege Escalation) |
| CVE-2025-36184 | Τοπική κλιμάκωση προνομίων και απόκτηση πρόσβασης Root. | High (Root Access) |
| CVE-2025-36365 | Privilege escalation υπό συγκεκριμένη διαμόρφωση απομακρυσμένης αποθήκευσης. | Medium |
| CVE-2025-2668 | Denial of Service μέσω ερωτήματος με λειτουργίες ALTER TABLE. | Medium (DoS) |
| CVE-2025-36442 | Κατάρρευση server (DoS) υπό συγκεκριμένες συνθήκες. | Medium (DoS) |
| CVE-2025-36423 | Κατάρρευση Federated server (DoS) με χρήση ειδικής εντολής. | Medium (DoS) |
| Λοιπά CVEs* | Περιλαμβάνουν ευπάθειες DoS μέσω XML, κατανομής πόρων και ειδικών ερωτημάτων. | Medium (DoS) |
*Η λίστα συνεχίζεται με παρόμοιες ευπάθειες DoS (CVE-2025-36424 έως CVE-2025-36428).
Ανάλυση και οδηγίες για διαχειριστές βάσεων δεδομένων
Η αποκάλυψη 17 ευπαθειών σε ένα τόσο κεντρικό σύστημα όσο η IBM Db2 αποτελεί μια ισχυρή υπενθύμιση ότι η ασφάλεια των βάσεων δεδομένων δεν είναι μια διαδικασία “set-it-and-forget-it”.
Ειδικά όταν μιλάμε για ευπάθειες που επιτρέπουν την απόκτηση δικαιωμάτων Root, ο κίνδυνος ξεφεύγει από τα όρια της απλής διαρροής δεδομένων και μετατρέπεται σε απειλή ολικής καταστροφής της υποδομής.
Γιατί η πρόσβαση Root είναι καταστροφική;
Όταν ένας επιτιθέμενος εκμεταλλευτεί την ευπάθεια CVE-2025-36184 και αποκτήσει δικαιώματα Root, ουσιαστικά “γίνεται” ο διαχειριστής του λειτουργικού συστήματος που φιλοξενεί τη βάση δεδομένων.
Αυτό σημαίνει ότι μπορεί:
- Να εγκαταστήσει κακόβουλο λογισμικό (όπως Ransomware) για να κλειδώσει ολόκληρο τον οργανισμό.
- Να διαγράψει logs και ίχνη της επίθεσης, καθιστώντας το forensic analysis αδύνατο.
- Να χρησιμοποιήσει τον server ως εφαλτήριο (pivot point) για να επιτεθεί σε άλλα συστήματα του εσωτερικού δικτύου.
Η παγίδα του End-of-Life (EOL) λογισμικού
Η επισήμανση της IBM ότι οι εκδόσεις εκτός υποστήριξης παραμένουν ευάλωτες είναι κρίσιμη. Πολλοί οργανισμοί, λόγω κόστους ή πολυπλοκότητας, διατηρούν παλαιότερες εκδόσεις (legacy systems).
Στην προκειμένη περίπτωση, αυτό αποτελεί αυτοκτονική πρακτική.
Χωρίς δυνατότητα patching, αυτά τα συστήματα είναι ανοιχτές πόρτες. Η μόνη λύση είναι η άμεση μετάβαση (migration) σε νεότερες εκδόσεις ή η απομόνωση αυτών των συστημάτων σε αυστηρά ελεγχόμενα δίκτυα (air-gapped), αν η αναβάθμιση είναι αδύνατη.
Έρευνες δείχνουν ότι οι επιτιθέμενοι αρχίζουν να σαρώνουν για ευπάθειες εντός 15 λεπτών από τη δημοσιοποίηση ενός CVE. Η ταχύτητα αντίδρασης είναι ζωτικής σημασίας.
Πρακτικά βήματα για DBAs
Πέρα από την άμεση εγκατάσταση των Special Builds, οι διαχειριστές πρέπει να υιοθετήσουν μια στρατηγική “Defense in Depth”:
- Έλεγχος Δικαιωμάτων: Εφαρμόστε την αρχή των ελάχιστων προνομίων (Least Privilege). Οι λογαριασμοί υπηρεσίας της Db2 δεν πρέπει να έχουν περιττά δικαιώματα στο λειτουργικό σύστημα.
- Παρακολούθηση Logs: Ενεργοποιήστε λεπτομερή καταγραφή για εντολές που αφορούν
ALTER TABLEκαι ειδικά XML queries, καθώς αυτά αποτελούν φορείς για τις DoS επιθέσεις που αναφέρθηκαν. - Network Segmentation: Βεβαιωθείτε ότι η πρόσβαση στις θύρες της Db2 είναι περιορισμένη μόνο στους απαραίτητους application servers και όχι ανοιχτή σε όλο το εταιρικό δίκτυο.
