出典: Security NEXT – https://www.security-next.com/177210
IBM AIXのNIM関連機能に深刻な脆弱性が発見され、アップデートで修正
IBMが提供するUNIX系OS「IBM AIX」のNetwork Installation Manager(NIM)に複数の深刻な脆弱性が明らかになりました。これらの脆弱性はネットワーク経由でリモートから任意のコマンド実行を許す可能性があり、IBMはアップデートを通じて修正を行い、利用者に対して注意喚起を行っています。
主要なポイント
- 複数の深刻な脆弱性がNIMに存在:IBMは2025年11月14日に公開したセキュリティアドバイザリで、NIMの4件の脆弱性を公表しました。
- 高いCVSSスコア:これらの脆弱性のうち3件は、共通脆弱性評価システム(CVSSv3.1)で9.0以上のベーススコアを持ち、非常に深刻なリスクを示しています。
- リモートからの任意コマンド実行が可能:特に「CVE-2025-36250」と「CVE-2025-36251」は、NIMサーバのプロセス制御に不備があり、リモートから攻撃者が任意のコマンドを実行できる脆弱性です。
- 過去の脆弱性との関連:これらの問題は以前修正された「CVE-2024-56346」や「CVE-2024-56347」と関連しており、同様の問題が再度発見された形です。
- アップデートの適用が必須:IBMはAIXおよび仮想環境のVIOSのアップデートを提供しており、利用者は速やかに適用することが推奨されています。
技術的な詳細や背景情報
NIM(Network Installation Manager)はIBM AIXにおけるネットワーク経由のOSインストールや管理を行う重要なコンポーネントです。今回の脆弱性は、NIMサーバの「nimesis」プロセスおよび通信を担う「nimshサービス」のTLS(Transport Layer Security)実装におけるプロセス制御の不備に起因しています。
TLSは通信の暗号化と認証を担うプロトコルであり、これが適切に実装されていないと通信の安全性が損なわれます。今回の脆弱性では、TLS処理の不備により攻撃者がリモートで任意のコマンドを実行できるため、システムの完全な制御を奪われる恐れがあります。
CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を評価する指標で、9.0以上は「Critical(重大)」レベルを示します。これにより、今回の脆弱性が非常に危険であることがわかります。
影響や重要性
IBM AIXは金融機関や大規模企業の基幹システムで広く利用されているため、今回の脆弱性は業務継続性や情報漏えいのリスクを高めます。特にNIMはシステムのインストールや管理に関わるため、攻撃者に悪用されると大規模なシステム障害や不正操作が発生する可能性があります。
また、リモートからの攻撃が前提となるため、ネットワークに接続されたAIXシステムは特に注意が必要です。仮想環境の管理を行うVIOS(Virtual I/O Server)も影響を受けるため、仮想化環境全体の安全性にも関わります。
まとめ
IBM AIXのNIM関連機能に存在する複数の深刻な脆弱性は、リモートから任意のコマンド実行を許す可能性があり、システムの安全性に重大な影響を与えます。IBMは既にアップデートを提供しているため、AIXおよびVIOSを利用するユーザーは速やかに最新のパッチを適用し、システムの安全を確保することが重要です。
今後もシステムの脆弱性情報には注意を払い、適切なセキュリティ対策を継続的に実施していくことが求められます。
