IBM, Laboratorio Nacional de Oak Ridge
Según los informes, un investigador de seguridad externo reveló múltiples fallas de seguridad dentro de IBM Data Risk Manager (IDRM), una de las herramientas de seguridad empresarial de IBM. Por cierto, las vulnerabilidades de seguridad de día cero aún no se han reconocido oficialmente, y mucho menos IBM las ha parcheado con éxito.
Un investigador que descubrió al menos cuatro vulnerabilidades de seguridad, con capacidades potenciales de ejecución remota de código (RCE), está disponible en la naturaleza. El investigador afirma que había intentado acercarse a IBM y compartir los detalles de las fallas de seguridad dentro del dispositivo virtual de seguridad Data Risk Manager de IBM, pero IBM se negó a reconocerlas y, en consecuencia, aparentemente las dejó sin parchear.
¿IBM se niega a aceptar el informe de vulnerabilidad de seguridad de día cero?
IBM Data Risk Manager es un producto empresarial que proporciona descubrimiento y clasificación de datos. La plataforma incluye análisis detallados sobre el riesgo comercial que se basa en los activos de información dentro de la organización. No hace falta agregar que la plataforma tiene acceso a información crítica y sensible sobre las empresas que la utilizan. Si se ve comprometida, toda la plataforma puede convertirse en un esclavo que puede ofrecer a los piratas informáticos un fácil acceso a más software y bases de datos.
Investigador de seguridad revela cuatro días cero #vulnerabilidades que afectan al IBM Data Risk Manager (IDRM), uno de los #empresasseguridad herramientas. #la seguridad cibernética https://t.co/jvdcufgQqi https://t.co/2cKjfrCOoz
- David De Sousa (@DavidDeSDrumond) 21 de abril de 2020
Pedro Ribeiro de Agile Information Security en el Reino Unido investigó la versión 2.0.3 de IBM Data Risk Manager y, según los informes, descubrió un total de cuatro vulnerabilidades. Después de confirmar las fallas, Ribeiro intentó revelarlo a IBM a través del CERT / CC en la Universidad Carnegie Mellon. Por cierto, IBM opera la plataforma HackerOne, que es esencialmente un canal oficial para informar tales debilidades de seguridad. Sin embargo, Ribeiro no es un usuario de HackerOne y aparentemente no quería unirse, por lo que intentó pasar por CERT / CC. Curiosamente, IBM se negó a reconocer las fallas con el siguiente mensaje:
“ Evaluamos este informe y lo cerramos como fuera del alcance de nuestro programa de divulgación de vulnerabilidades, ya que este producto es solo para soporte 'mejorado' pagado por nuestros clientes. . Esto se describe en nuestra política https://hackerone.com/ibm . Para ser elegible para participar en este programa, no debe tener contrato para realizar pruebas de seguridad para IBM Corporation, una subsidiaria de IBM o un cliente de IBM dentro de los 6 meses anteriores a la presentación de un informe. ”
Después de que el informe de vulnerabilidad gratuito fuera rechazado, el El investigador publicó detalles en GitHub sobre los cuatro problemas. . El investigador asegura que el motivo de la publicación del informe fue hacer que las empresas que utilizan IBM IDRM consciente de las fallas de seguridad y permitirles implementar mitigaciones para prevenir cualquier ataque.
¿Cuáles son las vulnerabilidades de seguridad de día cero en IBM IDRM?
De las cuatro, tres de las fallas de seguridad se pueden usar juntas para obtener privilegios de root en el producto. Las fallas incluyen una omisión de autenticación, una falla de inyección de comando y una contraseña predeterminada insegura.
La omisión de autenticación permite a un atacante abusar de un problema con una API para que el dispositivo Data Risk Manager acepte una ID de sesión arbitraria y un nombre de usuario y luego envíe un comando por separado para generar una nueva contraseña para ese nombre de usuario. La explotación exitosa del ataque esencialmente da acceso a la consola de administración web. Esto significa que los sistemas de autenticación o acceso autorizado de la plataforma se omiten por completo y el atacante tiene acceso administrativo completo a IDRM.
https://twitter.com/sudoWright/status/1252641787216375818
Con el acceso de administrador, un atacante puede usar la vulnerabilidad de inyección de comandos para cargar un archivo arbitrario. Cuando la tercera falla se combina con las dos primeras vulnerabilidades, permite que un atacante remoto no autenticado logre la ejecución remota de código (RCE) como raíz en el dispositivo virtual IDRM, lo que lleva a un compromiso total del sistema. Resumiendo las cuatro vulnerabilidades de seguridad de día cero en IBM IDRM:
- Un desvío del mecanismo de autenticación IDRM
- Un punto de inyección de comandos en una de las API de IDRM que permite que los ataques ejecuten sus propios comandos en la aplicación.
- Una combinación de nombre de usuario y contraseña codificados a3user / idrm
- Una vulnerabilidad en la API de IDRM que puede permitir que los piratas informáticos remotos descarguen archivos del dispositivo IDRM
Si eso no es lo suficientemente perjudicial, el investigador ha prometido revelar detalles sobre dos módulos de Metasploit que eluden la autenticación y explotan el ejecución remota de código y descarga de archivo arbitrario defectos.
Es importante señalar que a pesar de la presencia de vulnerabilidades de seguridad dentro de IBM IDRM, las posibilidades de explotar con éxito los mismos son bastante escasos . Esto se debe principalmente a que las empresas que implementan IBM IDRM en sus sistemas generalmente impiden el acceso a través de Internet. Sin embargo, si el dispositivo IDRM está expuesto en línea, los ataques se pueden llevar a cabo de forma remota. Además, un atacante que tiene acceso a una estación de trabajo en la red interna de una empresa puede potencialmente hacerse cargo del dispositivo IDRM. Una vez comprometido con éxito, el atacante puede extraer fácilmente credenciales para otros sistemas. Potencialmente, estos le darían al atacante la capacidad de moverse lateralmente a otros sistemas en la red de la empresa.
Etiquetas IBM
