CVE-2025-0165 olarak izlenen yeni açıklanan bir güvenlik açığı, özellikle veri platformu için IBM Cloud PAK içindeki IBM Watsonx Orkestrat kartuşu kullanıcıları ile ilgili olarak rapor edilmiştir. 31 Ağustos 2025’te IBM tarafından yayınlanan bir güvenlik bülteninde resmen kabul edilen kusur, kör SQL enjeksiyon saldırılarını sağlar ve potansiyel olarak kimlik doğrulamalı saldırganların arka uç veritabanında depolanan hassas verileri manipüle etmesine veya erişmesine izin verir.
CVE-2025-0165 güvenlik açığının doğası
Güvenlik açığı, CWE-89 (SQL enjeksiyonu) altında kategorize edilmiş bir güvenlik zayıflığı olan SQL komutlarında kullanılan özel elementlerin yanlış nötralizasyonundan kaynaklanmaktadır. Özellikle, Orkestrat kartuşu SQL ifadelerine gömülmeden önce kullanıcı girişini düzgün bir şekilde sterilize edemez.
Bu, saldırganın sonuçları doğrudan görebilmesi, dolayısıyla “kör” SQL enjeksiyonu olmadan bile, veritabanına karşı yürütülmesi için kötü bir şekilde hazırlanmış sorguların kapısını açar.
Bu kusur, özellikle veri için IBM Cloud PAK için Watsonx Orkestrat Kartuşunun birden fazla versiyonunu etkiler: özellikle:
- Sürüm 4.8.4 ila 4.8.5
- 5.0.0 ila 5.2 sürümleri
Bu sürümleri çalıştıran herhangi bir sistem, özellikle harici ağlara bağlıysa veya güvenilmeyen kullanıcılar tarafından erişildiğinde ortaya çıkabilir.
Risk değerlendirmesi ve potansiyel etki
IBM, CVE-2025-0165’e 7.6 CVSS V3.1 taban skoru atadı ve onu yüksek şiddetli bir güvenlik açığı olarak sınıflandırdı. Sömürü kimlik doğrulaması gerektirse de, potansiyel etkiler önemlidir:
- Gizlilik: Saldırganlar, kullanıcı kimlik bilgileri ve tescilli bilgiler gibi hassas verileri alabilirler.
- Dürüstlük: Kötü niyetli aktörler veritabanına yetkisiz kayıtları değiştirebilir veya enjekte edebilir.
- Kullanılabilirlik: Saldırganlar kritik tabloları silebilir veya bozabilir, bu da hizmetlerin ve iş akışlarının bozulmasına neden olabilir.
Güvenlik açığı için CVSS vektör dizesi (CVSS: 3.1/AV: N/AC: L/PR: L/UI: N/S: U/C: H/I: L/A: L), saldırıların, düşük karmaşıklıkla ve kullanıcı etkileşimi gerektirmeden, saldırganın kimlik doğrulaması olması durumunda, kullanıcı etkileşimi gerektirmeden gerçekleştirilebileceğini gösterir.
Resmi İfade ve Danışma
IBM’in resmi güvenlik bülteni güvenlik açığını aşağıdaki gibi açıklamaktadır:
“IBM Watsonx Veriler için IBM Cloud PAK için Orkestrasyon Kartuşu SQL enjeksiyonuna karşı savunmasızdır. Uzak bir saldırgan, saldırganın arka uç veritabanında bilgileri görüntülemesine, eklemesine, değiştirmesine veya silmesine izin verebilecek özel hazırlanmış SQL ifadeleri gönderebilir.”
Güvenlik açığı, 29 Ağustos 2025 tarihli ilk yayın ile Güvenlik Bülteni Kimliği: CVE-2025-0165 kapsamındaki IBM sistemlerinde kamuya açıklanmıştır.
İyileştirme adımları
Sorunu ele almak için IBM, güvenlik açığını tam olarak azaltan bir güncelleme yayınladı. Müşteriler, Watsonx Orchestrate kartuşu sürüm 5.2.0.1’e yükseltme çağrısında bulunur. Önerilen iyileştirme adımları şunları içerir:
- Yama yapmadan önce ilgili tüm yapılandırmaları ve veritabanlarını yedekleyin.
- Güncellenmiş sürümü IBM Fix Central’dan indirin.
- Operasyonel bozulmayı önlemek için bir bakım penceresi sırasında yamayı takın.
- Bilinen SQL modellerini kontrollü bir ortamda enjekte etme girişimleri de dahil olmak üzere kurulum sonrası testleri yapın.
- Sömürme denemesi veya anormal SQL aktivitesi belirtileri için sistem günlüklerini izleyin.
IBM herhangi bir resmi geçici çözüm veya alternatif hafifletme sağlamamıştır.
Savunma önlemleri
Güncellemeyi uygulamaya ek olarak, kuruluşlara aşağıdakilere tavsiye edilir:
- SQL Enjeksiyon Algılama Kuralları ile Web Uygulama Güvenlik Duvarlarını (WAF) dağıtın.
- Watsonx Services tarafından kullanılan tüm veritabanı kimlik bilgileri için en az tempolu ilkeleri uygulamak.
- Doğrulama rutinlerinin mevcut olmasını sağlamak için kullanıcı giriş mekanizmalarını düzenli olarak denetleyin.
CVE-2025-0165’in maruz kalması, IBM Watsonx gibi karmaşık AI orkestrasyon platformlarını güvence altına almada devam eden zorlukları vurgulamaktadır. Bu platformlar gelişmiş otomasyon ve veri entegrasyon özellikleri sunsa da, altta yatan mimarileri SQL enjeksiyonu gibi girdi tabanlı güvenlik açıklarına karşı sürekli olarak sertleştirilmelidir.
Veri için IBM Cloud PAK ve Watsonx Orkestrat’a güvenen işletmeler bu tür tavsiyelere hızlı bir şekilde yanıt vermelidir. Hareketsizlik, modern veri odaklı işletmelerin karşılayabileceği sonuçlar, yetkisiz veri erişimine veya çalışma kesinti süresine neden olabilir.