IBM, Oak Ridge nacionalinė laboratorija
Pranešama, kad „IBM Data Risk Manager“ (IDRM), vieno iš IBM įmonės saugos įrankių, saugos trūkumus atskleidė trečiosios šalies saugumo tyrėjas. Beje, „Zero-Day“ saugumo pažeidžiamumai dar nebuvo oficialiai pripažinti, jau nekalbant apie tai, kad IBM sėkmingai užtaisė.
Pranešama, kad tyrėjas, aptikęs mažiausiai keturias saugumo spragas ir galimas nuotolinio kodo vykdymo (RCE) galimybes, yra laukinėje gamtoje. Tyrėjas tvirtina, kad jis bandė kreiptis į IBM ir pasidalinti išsamia informacija apie IBM virtualaus saugumo duomenų apsaugos rizikos vadybininko „Data Risk Manager“ saugumo trūkumus, tačiau IBM atsisakė juos pripažinti ir dėl to, matyt, paliko juos neužfiksuotus.
IBM atsisako priimti nulio dienos saugos pažeidžiamumo ataskaitą?
„IBM Data Risk Manager“ yra įmonės produktas, teikiantis duomenų paiešką ir klasifikavimą. Platforma apima išsamią verslo rizikos analizę, pagrįstą informaciniais ištekliais organizacijos viduje. Nereikia nė pridurti, kad platforma turi prieigą prie kritinės ir neskelbtinos informacijos apie tas pačias įmones. Jei bus pažeista, visą platformą galima paversti vergu, kuris gali įsilaužėliams suteikti lengvą prieigą prie dar daugiau programinės įrangos ir duomenų bazių.
Saugumo tyrėjas atskleidžia keturias nulines dienas # pažeidžiamumas tai daro įtaką vieno iš IBM „IBM Data Risk Manager“ (IDRM) #Įmonių saugumas įrankiai. #Kibernetinė sauga https://t.co/jvdcufgQqi https://t.co/2cKjfrCOoz
- Davidas De Sousa (@DavidDeSDrumond) 2020 m. Balandžio 21 d
Pedro Ribeiro iš „Agile Information Security“ JK ištyrė „IBM Data Risk Manager“ 2.0.3 versiją ir pranešė, kad iš viso aptiko keturis pažeidžiamumus. Patvirtinęs trūkumus, Ribeiro bandė atskleisti IBM per Carnegie Mellon universiteto CERT / CC. Beje, IBM valdo „HackerOne“ platformą, kuri iš esmės yra oficialus kanalas pranešti apie tokius saugumo trūkumus. Tačiau Ribeiro nėra „HackerOne“ vartotojas ir, matyt, nenorėjo prisijungti, todėl bandė pereiti CERT / CC. Keista, bet IBM atsisakė pripažinti trūkumus pateikdamas šį pranešimą:
' Mes įvertinome šią ataskaitą ir uždarėme, kad ji nepatenka į mūsų pažeidžiamumo atskleidimo programos taikymo sritį, nes šis produktas skirtas tik „sustiprintai“ paramai, kurią moka mūsų klientai. . Tai išdėstyta mūsų politikoje https://hackerone.com/ibm . Kad galėtumėte dalyvauti šioje programoje, per 6 mėnesius iki ataskaitos pateikimo neturite sudaryti sutarties atlikti „IBM Corporation“, IBM dukterinės įmonės ar „IBM“ kliento saugos bandymus. '
Pranešama, kad nemokama pažeidžiamumo ataskaita buvo atmesta, tyrinėtojas „GitHub“ paskelbė išsamią informaciją apie keturis klausimus . Tyrėjas tikina, kad ataskaitos paskelbimo priežastis buvo priversti įmones, naudojančias „IBM IDRM“ žinodamas saugumo trūkumus ir leiskite jiems įdiegti švelninimo priemones, kad būtų išvengta bet kokių išpuolių.
Kas yra „IBM IDRM“ 0 dienų saugos pažeidžiamumas?
Iš keturių tris saugos trūkumus galima naudoti kartu norint gauti pagrindines produkto privilegijas. Trūkumai apima autentifikavimo apėjimą, komandos įvedimo klaidą ir nesaugų numatytąjį slaptažodį.
Autentifikavimo apėjimas leidžia užpuolikui piktnaudžiauti API problema, kad „Data Risk Manager“ prietaisas priimtų savavališką seanso ID ir vartotojo vardą, o tada atsiųs atskirą komandą, kad sugeneruotų naują šio vartotojo vardo slaptažodį. Sėkmingas išpuolio panaudojimas iš esmės suteikia prieigą prie žiniatinklio administravimo pulto. Tai reiškia, kad platformos autentifikavimas arba įgaliotos prieigos sistemos yra visiškai apeinamos, o užpuolikas turi visišką administracinę prieigą prie IDRM.
https://twitter.com/sudoWright/status/1252641787216375818
Turėdamas administratoriaus prieigą, užpuolikas gali naudoti komandos injekcijos pažeidžiamumą norimam failui įkelti. Kai trečiasis trūkumas sujungiamas su pirmaisiais dviem pažeidžiamumais, jis suteikia galimybę neautentifikuotam nuotoliniam užpuolikui pasiekti nuotolinį kodo vykdymą (RCE) kaip pagrindinį IDRM virtualaus prietaiso pagrindą, o tai sukelia visišką sistemos kompromisą. Apibendrinant keturias „IBM IDRM“ nulinės dienos saugumo spragas:
- IDRM autentifikavimo mechanizmo apėjimas
- Komandų įvedimo taškas vienoje iš IDRM API, leidžiantis atakoms vykdyti savo komandas programoje
- Kietasis vartotojo vardo ir slaptažodžio derinys a3user / idrm
- IDRM API spraga, leidžianti nuotoliniams įsilaužėliams atsisiųsti failus iš IDRM prietaiso
Jei tai nepakenks pakankamai, tyrėjas pažadėjo atskleisti informaciją apie du „Metasploit“ modulius, kurie apeina autentifikavimą ir naudoja nuotolinis kodo vykdymas ir savavališkas failo atsisiuntimas trūkumai.
Svarbu pažymėti, kad, nepaisant to, kad IBM IDRM yra saugos pažeidžiamumų, jų tikimybė sėkmingai išnaudoti tą patį yra gana menki . Tai visų pirma dėl to, kad įmonės, diegiančios „IBM IDRM“ savo sistemose, paprastai neleidžia naudotis internetu. Tačiau jei IDRM prietaisas veikia internete, atakos gali būti vykdomos nuotoliniu būdu. Be to, užpuolikas, turintis prieigą prie darbo vietos įmonės vidiniame tinkle, gali perimti IDRM prietaisą. Sėkmingai pažeistas užpuolikas gali lengvai išgauti kitų sistemų kredencialus. Tai gali suteikti užpuolikui galimybę pereiti į šonus į kitas įmonės tinklo sistemas.
Žymos IBM
