IBM roept klanten op om een kritieke kwetsbaarheid in API Connect direct te patchen. De fout maakt het mogelijk voor aanvallers om zonder authenticatie toegang te krijgen tot applicaties. Het lek treft honderden organisaties in bankwezen, gezondheidszorg en retail.
De kwetsbaarheid, geregistreerd als CVE-2025-13915, scoort een 9.8 op de CVSS-beoordeling. Het betreft een authentication bypass-fout in IBM API Connect versies 10.0.11.0 en 10.0.8.0 tot en met 10.0.8.5. Aanvallers kunnen zonder credentials op afstand toegang krijgen tot blootgestelde applicaties.
API Connect is een API gateway-platform waarmee organisaties API’s kunnen ontwikkelen, testen en beheren. Het platform is beschikbaar voor on-premises, cloud en hybride omgevingen. Succesvolle exploitatie vereist geen gebruikersinteractie en heeft lage aanvalscomplexiteit.
Directe actie vereist
IBM dringt aan op een onmiddellijke upgrade naar de laatste versie. Voor organisaties die niet direct kunnen patchen, biedt het bedrijf tijdelijke maatregelen aan. IBM API Connect zou een externe aanvaller in staat kunnen stellen authenticatiemechanismen te omzeilen en ongeautoriseerde toegang tot de applicatie te verkrijgen.
Klanten die de interim-fix niet kunnen installeren, moeten self-service sign-up op hun Developer Portal uitschakelen indien deze is ingeschakeld. Dit helpt de blootstelling aan de kwetsbaarheid te minimaliseren. Gedetailleerde instructies voor het toepassen van de patch in VMware-, OCP- en Kubernetes-omgevingen zijn beschikbaar in een support-document van IBM.
Breder beveiligingspatroon
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de afgelopen vier jaar meerdere IBM-kwetsbaarheden toegevoegd aan haar catalogus van bekende geëxploiteerde kwetsbaarheden. De organisatie markeert deze als actief misbruikt in het wild en verplicht federale agentschappen hun systemen te beveiligen volgens Binding Operational Directive (BOD) 22-01.
Twee van deze beveiligingslekken zijn tevens gemarkeerd als gebruikt in ransomware-aanvallen. Het gaat om een code execution-fout in IBM Aspera Faspex (CVE-2022-47986) en een Invalid Input-fout in IBM InfoSphere BigInsights (CVE-2013-3993). De urgentie van patching bij IBM-producten blijft daarmee hoog.