IBM Zero-Day RCE-sikkerhedssårbarheder, der påvirker datarisikostyring, forbliver upatchet, selv efter offentlig frigivelse?

Flere sikkerhedsfejl i IBM Data Risk Manager (IDRM), et af IBMs virksomheds sikkerhedsværktøjer, blev efter sigende afsløret af en tredjeparts sikkerhedsforsker. I øvrigt er Zero-Day sikkerhedssårbarheden endnu ikke officielt anerkendt, endsige med succes patchet af IBM.

En forsker, der opdagede mindst fire sikkerhedssårbarheder med potentiel Remote Code Execution (RCE) kapacitet, er angiveligt tilgængelig i naturen. Forskeren hævder, at han havde forsøgt at nærme sig IBM og dele detaljerne i sikkerhedsfejlene i IBMs Data Risk Manager-virtuelle sikkerhedsapparat, men IBM nægtede at anerkende dem og har følgelig tilsyneladende efterladt dem upatchede.

IBM nægter at acceptere rapporten om nul-dages sikkerhedssårbarhed?

IBM Data Risk Manager er et virksomhedsprodukt, der leverer datafinding og klassificering. Platformen inkluderer detaljeret analyse om den forretningsrisiko, der er baseret på informationsaktiverne i organisationen. Det er overflødigt at tilføje, at platformen har adgang til kritiske og følsomme oplysninger om de virksomheder, der bruger det samme. Hvis det er kompromitteret, kan hele platformen omdannes til en slave, der kan give hackere nem adgang til endnu mere software og databaser.

Pedro Ribeiro fra Agile Information Security i Storbritannien undersøgte version 2.0.3 af IBM Data Risk Manager og opdagede efter sigende i alt fire sårbarheder. Efter at have bekræftet manglerne, forsøgte Ribeiro at videregive dem til IBM gennem CERT / CC ved Carnegie Mellon University. I øvrigt driver IBM HackerOne-platformen, som i det væsentlige er en officiel kanal til at rapportere sådanne sikkerhedssvagheder. Imidlertid er Ribeiro ikke en HackerOne-bruger og ville tilsyneladende ikke deltage, så han forsøgte at gennemgå CERT / CC. Mærkeligt nok nægtede IBM at anerkende fejlene med følgende meddelelse:

Vi har vurderet denne rapport og lukket som værende uden for vores sårbarhedsoplysningsprogram, da dette produkt kun er til "forbedret" support betalt af vores kunder. Dette er beskrevet i vores politik https://hackerone.com/ibm. For at være berettiget til at deltage i dette program skal du ikke være under kontrakt for at udføre sikkerhedstest for IBM Corporation eller et IBM-datterselskab eller IBM-klient inden for 6 måneder før du afleverer en rapport.

Efter at rapporten om gratis sårbarhed angiveligt blev afvist, offentliggjorde forskeren detaljer om GitHub om de fire emner. Forskeren forsikrer, at årsagen til offentliggørelsen af ​​rapporten var at fremstille virksomheder, der bruger IBM IDRM opmærksom på sikkerhedsfejlene og lad dem sætte afbødninger på plads for at forhindre angreb.

Hvad er 0-dages sikkerhedssårbarheder i IBM IDRM?

Af de fire kan tre af sikkerhedsfejlene bruges sammen til at få rodprivilegier på produktet. Fejlene inkluderer en omgåelse af godkendelse, en fejl ved kommandainjektion og en usikker standardadgangskode.

Godkendelsesomgåelsen giver en hacker mulighed for at misbruge et problem med en API for at få Data Risk Manager-apparatet til at acceptere et vilkårligt session-id og et brugernavn og derefter sende en separat kommando for at generere en ny adgangskode til dette brugernavn. Vellykket udnyttelse af angrebet giver i det væsentlige adgang til webadministrationskonsollen. Dette betyder, at platformens godkendelse eller autoriserede adgangssystemer er helt omgået, og angriberen har fuld administrativ adgang til IDRM.

https://twitter.com/sudoWright/status/1252641787216375818

Med administratoradgang kan en angriber bruge sårbarheden ved kommandainjektion til at uploade en vilkårlig fil. Når den tredje fejl kombineres med de to første sårbarheder, tillader det en uautoriseret fjernangriber at opnå Remote Code Execution (RCE) som rod på det virtuelle IDRM-apparat, hvilket fører til komplet systemkompromis. Sammenfatning af de fire nul-dags sikkerhedssårbarheder i IBM IDRM:

  • En omgåelse af IDRM-godkendelsesmekanismen
  • Et kommandoindsprøjtningspunkt i en af ​​IDRM API'erne, der lader angreb køre deres egne kommandoer på appen
  • En hardcodet brugernavn og adgangskode combo afa3bruger / idrm
  • En sårbarhed i IDRM API, der kan give fjernhackere mulighed for at downloade filer fra IDRM-apparatet

Hvis det ikke er skadeligt nok, har forskeren lovet at afsløre detaljer om to Metasploit-moduler, der omgår godkendelse og udnytter fjernkodekørsel og vilkårlige filhentningsfejl.

Det er vigtigt at bemærke, at på trods af tilstedeværelsen af ​​sikkerhedssårbarheder i IBM IDRM, er chancerne for med succes at udnytte det samme er ret slanke. Dette skyldes primært, at virksomheder, der distribuerer IBM IDRM på deres systemer, normalt forhindrer adgang via internettet. Men hvis IDRM-apparatet eksponeres online, kan angreb udføres eksternt. Desuden kan en hacker, der har adgang til en arbejdsstation på en virksomheds interne netværk, muligvis overtage IDRM-apparatet. Når angriberen med succes er kompromitteret, kan den nemt udtrække legitimationsoplysninger til andre systemer. Disse vil potentielt give angriberen mulighed for at flytte sideværts til andre systemer på virksomhedens netværk.

Facebook Twitter Google Plus Pinterest