IBM Zero-Day RCE-sikkerhetsproblemer som påvirker datarisikosjef forblir upatchet selv etter offentlig utgivelse?
Flere sikkerhetsfeil i IBM Data Risk Manager (IDRM), et av IBMs sikkerhetsverktøy for bedrifter, ble angivelig avslørt av en tredjeparts sikkerhetsforsker. Forresten er sikkerhetsproblemene i Zero-Day ennå ikke offisielt anerkjent, enn si vellykket patched av IBM.
En forsker som oppdaget minst fire sikkerhetsproblemer, med potensiell Remote Code Execution (RCE) -funksjoner, er angivelig tilgjengelig i naturen. Forskeren hevder at han hadde forsøkt å nærme seg IBM og dele detaljene i sikkerhetsfeilene i IBMs Data Risk Manager-virtuelle sikkerhetsapparat, men IBM nektet å erkjenne dem og har følgelig tilsynelatende forlatt dem.
IBM nekter å godta Zero-Day Security Sårbarhetsrapport?
IBM Data Risk Manager er et bedriftsprodukt som gir dataoppdagelse og klassifisering. Plattformen inkluderer detaljert analyse om forretningsrisikoen som er basert på informasjonsmidlene i organisasjonen. Unødvendig å legge til, har plattformen tilgang til kritisk og sensitiv informasjon om virksomhetene som bruker det samme. Hvis det er kompromittert, kan hele plattformen gjøres om til en slave som kan tilby hackere enkel tilgang til enda mer programvare og databaser.
Pedro Ribeiro fra Agile Information Security i Storbritannia undersøkte versjon 2.0.3 av IBM Data Risk Manager og oppdaget angivelig totalt fire sårbarheter. Etter å ha bekreftet feilene, forsøkte Ribeiro å avsløre til IBM gjennom CERT / CC ved Carnegie Mellon University. Forresten driver IBM HackerOne-plattformen, som egentlig er en offisiell kanal for å rapportere slike sikkerhetssvakheter. Imidlertid er Ribeiro ikke en HackerOne-bruker og ville tilsynelatende ikke være med, så han prøvde å gå gjennom CERT / CC. Merkelig, IBM nektet å erkjenne feilene med følgende melding:
“Vi har vurdert denne rapporten og lukket for å være utenfor omfanget av vårt program for avsløring av sårbarheter, siden dette produktet kun er for “forbedret” støtte betalt av våre kunder.. Dette er beskrevet i vår policy https://hackerone.com/ibm. For å være kvalifisert til å delta i dette programmet, må du ikke være under kontrakt for å utføre sikkerhetstesting for IBM Corporation, eller et IBM-datterselskap eller IBM-klient innen 6 måneder før du sender inn en rapport.”
Etter at rapporten om gratis sårbarhet angivelig ble avvist, publiserte forskeren detaljer om GitHub om de fire problemene. Forskeren forsikrer at årsaken til publisering av rapporten var å lage selskaper som bruker IBM IDRM klar over sikkerhetsfeilene og la dem sette i verk for å forhindre angrep.
Hva er 0-dagers sikkerhetsproblemer i IBM IDRM?
Av de fire kan tre av sikkerhetsfeilene brukes sammen for å få rotprivilegier på produktet. Feilene inkluderer en autentiseringsomgåelse, en kommandoinjeksjonsfeil og et usikkert standardpassord.
Autentiseringsomkoblingen lar en angriper misbruke et problem med en API for å få Data Risk Manager-enheten til å godta en vilkårlig økt-ID og et brukernavn og deretter sende en egen kommando for å generere et nytt passord for det brukernavnet. Vellykket utnyttelse av angrepet gir i hovedsak tilgang til nettadministrasjonskonsollen. Dette betyr at plattformens autentisering eller autoriserte tilgangssystemer er helt forbigått, og angriperen har full administrativ tilgang til IDRM.
https://twitter.com/sudoWright/status/1252641787216375818
Med administratortilgang kan en angriper bruke sårbarheten ved kommandainjeksjon til å laste opp en vilkårlig fil. Når den tredje feilen kombineres med de to første sårbarhetene, tillater det en uautentisert ekstern angriper å oppnå ekstern kjøring av kode (RCE) som rot på det virtuelle IDRM-apparatet, noe som fører til fullstendig systemkompromiss. Oppsummering av de fire null-sikkerhetsproblemene i IBM IDRM:
- En omgåelse av IDRM-autentiseringsmekanismen
- Et kommandoinjeksjonspunkt i en av IDRM API-ene som lar angrep kjøre sine egne kommandoer på appen
- En hardkodet brukernavn og passordkombinasjon ava3bruker / idrm
- Et sikkerhetsproblem i IDRM API som kan tillate eksterne hackere å laste ned filer fra IDRM-enheten
Hvis det ikke er skadelig nok, har forskeren lovet å avsløre detaljer om to Metasploit-moduler som omgår autentisering og utnytter ekstern kjøring av kode og vilkårlige filnedlastingsfeil.
Det er viktig å merke seg at til tross for tilstedeværelsen av sikkerhetsproblemer i IBM IDRM, er sjansene for vellykket å utnytte det samme er ganske slank. Dette er først og fremst fordi selskaper som distribuerer IBM IDRM på sine systemer, vanligvis forhindrer tilgang via internett. Imidlertid, hvis IDRM-apparatet blir eksponert online, kan angrep utføres eksternt. Videre kan en angriper som har tilgang til en arbeidsstasjon i selskapets interne nettverk potensielt overta IDRM-apparatet. Når angriperen er vellykket, kan den enkelt trekke ut legitimasjon for andre systemer. Disse vil potensielt gi angriperen muligheten til å bevege seg sideveis til andre systemer på selskapets nettverk.