IBM, Oak Ridge National Laboratory
Un investigador de seguretat de tercers va revelar diversos defectes de seguretat dins de l’IBM Data Risk Manager (IDRM), una de les eines de seguretat empresarial d’IBM. Per cert, les vulnerabilitats de seguretat Zero-Day encara no han estat reconegudes oficialment, i encara menys IBM ha corregit correctament.
Segons els informes, un investigador que va descobrir almenys quatre vulnerabilitats de seguretat, amb possibles funcions d’execució remota de codis (RCE), està disponible en llibertat. L’investigador afirma que havia intentat apropar-se a IBM i compartir els detalls dels defectes de seguretat de l’aplicació virtual de seguretat de Data Risk Manager d’IBM, però IBM es va negar a reconèixer-los i, en conseqüència, aparentment els ha deixat sense parches.
IBM es nega a acceptar l'informe de vulnerabilitat de seguretat de dia zero?
L'IBM Data Risk Manager és un producte empresarial que proporciona la detecció i classificació de dades. La plataforma inclou anàlisis detallades sobre el risc empresarial que es basa en els recursos d'informació de l'organització. No cal afegir que la plataforma tingui accés a informació crítica i sensible sobre les empreses que en fan ús. Si es posa en perill, tota la plataforma es pot convertir en un esclau que pot oferir als pirates informàtics un accés fàcil a encara més programes i bases de dades.
Un investigador de seguretat revela quatre dies zero #vulnerabilitats que afecten l'IBM Data Risk Manager (IDRM), un dels IBM #empresesseguretat eines. #seguretat cibernètica https://t.co/jvdcufgQqi https://t.co/2cKjfrCOoz
- David De Sousa (@DavidDeSDrumond) 21 d’abril de 2020
Pedro Ribeiro, d’Agile Information Security, al Regne Unit, va investigar la versió 2.0.3 d’IBM Data Risk Manager i va informar que va descobrir un total de quatre vulnerabilitats. Després de confirmar els defectes, Ribeiro va intentar revelar-ho a IBM a través del CERT / CC de la Universitat Carnegie Mellon. Per cert, IBM opera la plataforma HackerOne, que és essencialment un canal oficial per informar d’aquestes debilitats de seguretat. Tot i això, Ribeiro no és un usuari de HackerOne i, pel que sembla, no s’hi volia afegir, de manera que va intentar passar per CERT / CC. Curiosament, IBM es va negar a reconèixer els defectes amb el següent missatge:
' Hem avaluat aquest informe i hem tancat com a fora de l'abast del nostre programa de divulgació de vulnerabilitats, ja que aquest producte només és per a assistència 'millorada' pagada pels nostres clients . Això es descriu a la nostra política https://hackerone.com/ibm . Per poder participar en aquest programa, no heu d'estar contractat per realitzar proves de seguretat per a IBM Corporation, o una filial d'IBM o client d'IBM dins dels 6 mesos anteriors a l'enviament d'un informe. '
Després de la denegació de l'informe de vulnerabilitat gratuït, el fitxer l'investigador va publicar detalls a GitHub sobre els quatre números . L'investigador assegura que la raó per la qual va publicar l'informe va ser la de fer empreses que utilitzen IBM IDRM conscient dels defectes de seguretat i permetre'ls posar mitigacions per evitar atacs.
Quines són les vulnerabilitats de seguretat de 0 dies a IBM IDRM?
Dels quatre, tres dels defectes de seguretat es poden utilitzar junts per obtenir privilegis d’arrel al producte. Els errors inclouen una derivació d’autenticació, un error d’injecció d’ordres i una contrasenya per defecte insegura.
El bypass d'autenticació permet a un atacant abusar d'un problema amb una API per aconseguir que l'aplicació Data Risk Manager accepti un identificador de sessió arbitrari i un nom d'usuari i, a continuació, enviï una ordre independent per generar una nova contrasenya per a aquest nom d'usuari. L’explotació amb èxit de l’atac proporciona essencialment accés a la consola d’administració web. Això significa que s’autoritza completament l’autenticació de la plataforma o els sistemes d’accés autoritzat i que l’atacant té accés administratiu complet a IDRM.
https://twitter.com/sudoWright/status/1252641787216375818
Amb l'accés d'administrador, un atacant pot utilitzar la vulnerabilitat d'injecció d'ordres per carregar un fitxer arbitrari. Quan el tercer defecte es combina amb les dues primeres vulnerabilitats, permet a un atacant remot no autenticat assolir l'execució de codi remot (RCE) com a root a l'aplicació virtual IDRM, cosa que comporta un compromís complet del sistema. Resumint les quatre vulnerabilitats de seguretat Zero-Day a IBM IDRM:
- Una derivació del mecanisme d’autenticació IDRM
- Un punt d'injecció d'ordres en una de les API IDRM que permet als atacs executar les seves pròpies ordres a l'aplicació
- Un combinat de nom d'usuari i contrasenya codificat a3user / idrm
- Una vulnerabilitat a l'API IDRM que pot permetre als pirates informàtics remots descarregar fitxers de l'aplicació IDRM
Si això no és prou perjudicial, l’investigador s’ha compromès a revelar detalls sobre dos mòduls de Metasploit que eviten l’autenticació i exploten execució de codi remot i descàrrega de fitxers arbitrària defectes.
És important tenir en compte que, malgrat la presència de vulnerabilitats de seguretat a l 'IBM IDRM, les possibilitats de explotar-los amb èxit són bastant prims . Això es deu principalment a que les empreses que implementen IBM IDRM als seus sistemes solen impedir l'accés a través d'Internet. No obstant això, si l'aplicació IDRM està exposada en línia, els atacs es poden dur a terme de forma remota. A més, un atacant que tingui accés a una estació de treball de la xarxa interna d’una empresa pot assumir l’aplicació IDRM. Un cop compromès amb èxit, l'atacant pot extreure fàcilment credencials d'altres sistemes. Aquests podrien donar a l'atacant la possibilitat de desplaçar-se lateralment a altres sistemes de la xarxa de l'empresa.
Etiquetes IBM
