IBM Zero-Day RCE-beveiligingslekken die van invloed zijn op Data Risk Manager, blijven ongepatcht, zelfs na openbare publicatie?

Meerdere beveiligingsfouten in IBM Data Risk Manager (IDRM), een van IBM's enterprise-beveiligingstools, zijn naar verluidt onthuld door een externe beveiligingsonderzoeker. Overigens zijn de Zero-Day-beveiligingslekken nog niet officieel erkend, laat staan ​​succesvol gepatcht door IBM.

Een onderzoeker die ten minste vier beveiligingsproblemen heeft ontdekt, met mogelijke Remote Code Execution (RCE) -mogelijkheden, is naar verluidt beschikbaar in het wild. De onderzoeker beweert dat hij had geprobeerd IBM te benaderen en de details van de beveiligingsfouten in de virtuele Data Risk Manager-beveiligingstoepassing van IBM te delen, maar IBM weigerde ze te erkennen en heeft ze daarom blijkbaar niet gepatcht gelaten.

Weigert IBM het Zero-Day Security Kwetsbaarheidsrapport te accepteren?

De IBM Data Risk Manager is een ondernemingsproduct dat gegevensdetectie en -classificatie biedt. Het platform bevat gedetailleerde analyses over het bedrijfsrisico dat is gebaseerd op de informatiemiddelen binnen de organisatie. Onnodig toe te voegen, het platform heeft toegang tot kritische en gevoelige informatie over de bedrijven die hiervan gebruik maken. Indien gecompromitteerd, kan het hele platform worden veranderd in een slaaf die hackers gemakkelijk toegang kan bieden tot nog meer software en databases.

Pedro Ribeiro van Agile Information Security in het VK onderzocht versie 2.0.3 van IBM Data Risk Manager en ontdekte naar verluidt in totaal vier kwetsbaarheden. Nadat hij de tekortkomingen had bevestigd, probeerde Ribeiro informatie aan IBM bekend te maken via de CERT / CC aan de Carnegie Mellon University. Overigens exploiteert IBM het HackerOne-platform, dat in wezen een officieel kanaal is om dergelijke beveiligingslekken te melden. Ribeiro is echter geen HackerOne-gebruiker en wilde blijkbaar niet meedoen, dus probeerde hij via CERT / CC te gaan. Vreemd genoeg weigerde IBM de tekortkomingen te erkennen met het volgende bericht:

We hebben dit rapport beoordeeld en afgesloten als zijnde buiten het bereik van ons programma voor het vrijgeven van kwetsbaarheden, aangezien dit product alleen bedoeld is voor "verbeterde" ondersteuning die door onze klanten wordt betaald.. Dit wordt uiteengezet in ons beleid https://hackerone.com/ibm. Om in aanmerking te komen voor deelname aan dit programma, mag u geen contract hebben om beveiligingstests uit te voeren voor IBM Corporation, of een IBM-dochteronderneming of IBM-klant binnen 6 maanden voorafgaand aan het indienen van een rapport.

Nadat het gratis kwetsbaarheidsrapport naar verluidt was afgewezen, publiceerde de onderzoeker op GitHub details over de vier problemen. De onderzoeker verzekert dat de reden voor het publiceren van het rapport was om bedrijven te maken die IBM IDRM gebruiken zich bewust van de beveiligingsfouten en hen in staat stellen om maatregelen te nemen om aanvallen te voorkomen.

Wat zijn de 0-Day beveiligingslekken in IBM IDRM?

Van de vier kunnen drie beveiligingsfouten samen worden gebruikt om rootprivileges op het product te verkrijgen. De gebreken omvatten een authenticatie-bypass, een opdrachtinjectiefout en een onveilig standaardwachtwoord.

De authenticatie-bypass stelt een aanvaller in staat misbruik te maken van een probleem met een API om de Data Risk Manager-toepassing een willekeurige sessie-ID en een gebruikersnaam te laten accepteren en vervolgens een afzonderlijk commando te sturen om een ​​nieuw wachtwoord voor die gebruikersnaam te genereren. Succesvolle exploitatie van de aanval geeft in wezen toegang tot de webconsole. Dit betekent dat de authenticatie- of geautoriseerde toegangssystemen van het platform volledig worden omzeild en dat de aanvaller volledige beheerderstoegang heeft tot IDRM.

https://twitter.com/sudoWright/status/1252641787216375818

Met de beheerderstoegang kan een aanvaller de kwetsbaarheid voor opdrachtinjectie gebruiken om een ​​willekeurig bestand te uploaden. Wanneer de derde fout wordt gecombineerd met de eerste twee kwetsbaarheden, kan een niet-geverifieerde externe aanvaller Remote Code Execution (RCE) uitvoeren als root op de virtuele IDRM-appliance, waardoor het systeem volledig in gevaar komt. Een samenvatting van de vier Zero-Day Security Kwetsbaarheden in IBM IDRM:

  • Een omzeiling van het IDRM-authenticatiemechanisme
  • Een opdrachtinjectiepunt in een van de IDRM-API's waarmee aanvallen hun eigen opdrachten op de app kunnen uitvoeren
  • Een hardgecodeerde combinatie van gebruikersnaam en wachtwoord vana3user / idrm
  • Een kwetsbaarheid in de IDRM API waardoor hackers op afstand bestanden kunnen downloaden van de IDRM-appliance

Als dat niet schadelijk genoeg is, heeft de onderzoeker beloofd details te onthullen over twee Metasploit-modules die authenticatie omzeilen en misbruik maken van de uitvoering van externe code en willekeurige fouten bij het downloaden van bestanden.

Het is belangrijk op te merken dat ondanks de aanwezigheid van de beveiligingsproblemen binnen IBM IDRM, de kans op het met succes exploiteren van hetzelfde zijn vrij klein. Dit komt voornamelijk doordat bedrijven die IBM IDRM op hun systemen implementeren, meestal toegang via internet onmogelijk maken. Als het IDRM-apparaat echter online wordt blootgesteld, kunnen aanvallen op afstand worden uitgevoerd. Bovendien kan een aanvaller die toegang heeft tot een werkstation op het interne netwerk van een bedrijf mogelijk het IDRM-apparaat overnemen. Eenmaal succesvol gecompromitteerd, kan de aanvaller gemakkelijk inloggegevens voor andere systemen extraheren. Deze zouden de aanvaller mogelijk de mogelijkheid geven om lateraal naar andere systemen op het netwerk van het bedrijf te gaan.

Facebook Twitter Google Plus Pinterest