IBM, Национальная лаборатория Ок-Ридж
По сообщениям, сторонним исследователем безопасности были обнаружены многочисленные недостатки безопасности в IBM Data Risk Manager (IDRM), одном из инструментов корпоративной безопасности IBM. Между прочим, уязвимости системы безопасности Zero-Day еще не были официально признаны, не говоря уже о том, что IBM успешно их исправила.
Сообщается, что исследователь, обнаруживший по крайней мере четыре уязвимости безопасности с потенциальными возможностями удаленного выполнения кода (RCE), доступен в дикой природе. Исследователь утверждает, что он пытался связаться с IBM и поделиться подробностями о недостатках безопасности в виртуальном устройстве безопасности IBM Data Risk Manager, но IBM отказалась признать их и, как следствие, оставила их без исправлений.
IBM отказывается принять отчет об уязвимости нулевого дня?
IBM Data Risk Manager - это корпоративный продукт, обеспечивающий обнаружение и классификацию данных. Платформа включает подробную аналитику бизнес-риска, основанную на информационных активах внутри организации. Излишне добавлять, что платформа имеет доступ к важной и конфиденциальной информации о компаниях, которые ее используют. В случае компрометации всю платформу можно превратить в ведомую, которая может предложить хакерам легкий доступ к еще большему количеству программного обеспечения и баз данных.
Исследователь безопасности раскрывает четыре нулевых дня # уязвимости которые влияют на IBM Data Risk Manager (IDRM), один из #enterprisesecurity инструменты. #кибербезопасность https://t.co/jvdcufgQqi https://t.co/2cKjfrCOoz
- Дэвид Де Соуза (@DavidDeSDrumond) 21 апреля 2020 г.
Педро Рибейро из Agile Information Security в Великобритании исследовал версию 2.0.3 IBM Data Risk Manager и, как сообщается, обнаружил в общей сложности четыре уязвимости. Убедившись в недостатках, Рибейро попытался раскрыть информацию IBM через CERT / CC в Университете Карнеги-Меллона. Между прочим, IBM использует платформу HackerOne, которая, по сути, является официальным каналом для сообщений о таких слабых сторонах безопасности. Однако Рибейро не является пользователем HackerOne и, очевидно, не хотел присоединяться, поэтому он попытался пройти CERT / CC. Как ни странно, IBM отказалась признать недостатки следующим сообщением:
' Мы оценили этот отчет и закрыли его как выходящее за рамки нашей программы раскрытия уязвимостей, поскольку этот продукт предназначен только для «расширенной» поддержки, оплачиваемой нашими клиентами. . Это изложено в нашей политике https://hackerone.com/ibm . Чтобы иметь право участвовать в этой программе, вы не должны заключать контракт на выполнение тестирования безопасности для корпорации IBM, дочерней компании IBM или клиента IBM в течение 6 месяцев до отправки отчета. '
Как сообщается, после того, как бесплатный отчет об уязвимости был отклонен, исследователь опубликовал подробности о четырех проблемах на GitHub. . Исследователь уверяет, что причиной публикации отчета было желание заставить компании, использующие IBM IDRM осведомлен о недостатках безопасности и позволить им принять меры для предотвращения любых атак.
Каковы уязвимости безопасности нулевого дня в IBM IDRM?
Три из четырех уязвимостей безопасности можно использовать вместе для получения root-привилегий на продукте. К недостаткам относятся обход аутентификации, ошибка внедрения команд и небезопасный пароль по умолчанию.
Обход аутентификации позволяет злоумышленнику злоупотреблять проблемой с API, чтобы устройство Data Risk Manager могло принять произвольный идентификатор сеанса и имя пользователя, а затем отправить отдельную команду для генерации нового пароля для этого имени пользователя. Успешное использование атаки по существу дает доступ к консоли веб-администрирования. Это означает, что системы аутентификации или авторизованного доступа платформы полностью игнорируются, и злоумышленник имеет полный административный доступ к IDRM.
https://twitter.com/sudoWright/status/1252641787216375818
Имея доступ администратора, злоумышленник может использовать уязвимость внедрения команд для загрузки произвольного файла. Когда третий недостаток сочетается с первыми двумя уязвимостями, он позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, получить удаленное выполнение кода (RCE) как root на виртуальном устройстве IDRM, что приведет к полной компрометации системы. Обобщение четырех уязвимостей нулевого дня в системе безопасности IBM IDRM:
- Обход механизма аутентификации IDRM
- Точка внедрения команды в одном из API-интерфейсов IDRM, позволяющая атакам запускать собственные команды в приложении.
- Жестко запрограммированная комбинация имени пользователя и пароля из a3user / idrm
- Уязвимость в IDRM API, которая позволяет удаленным хакерам загружать файлы с устройства IDRM.
Если этого недостаточно, исследователь пообещал раскрыть подробности о двух модулях Metasploit, которые обходят аутентификацию и используют удаленное выполнение кода и загрузка произвольного файла недостатки.
Важно отметить, что, несмотря на наличие уязвимостей безопасности внутри IBM IDRM, шансы успешно эксплуатируя то же самое, довольно тонкие . Это в первую очередь потому, что компании, внедряющие IBM IDRM в свои системы, обычно предотвращают доступ через Интернет. Однако, если устройство IDRM открыто в сети, атаки могут быть выполнены удаленно. Более того, злоумышленник, у которого есть доступ к рабочей станции во внутренней сети компании, потенциально может захватить устройство IDRM. После успешного взлома злоумышленник может легко извлечь учетные данные для других систем. Это потенциально даст злоумышленнику возможность перейти к другим системам в сети компании.
Теги IBM
![[FIX] «Ошибка подключения к серверу» в Runescape](https://jf-balio.pt/img/how-tos/87/error-connecting-server-runescape.png)
