IBM, Oak Ridge National Laboratory
Berichten zufolge wurden mehrere Sicherheitslücken in IBM Data Risk Manager (IDRM), einem der Unternehmenssicherheitstools von IBM, von einem Sicherheitsforscher eines Drittanbieters aufgedeckt. Übrigens wurden die Zero-Day-Sicherheitslücken noch nicht offiziell anerkannt, geschweige denn von IBM erfolgreich gepatcht.
Berichten zufolge ist ein Forscher, der mindestens vier Sicherheitslücken mit potenziellen RCE-Funktionen (Remote Code Execution) entdeckt hat, in freier Wildbahn verfügbar. Der Forscher behauptet, er habe versucht, sich an IBM zu wenden und die Details der Sicherheitslücken in der virtuellen Data Risk Manager-Sicherheits-Appliance von IBM zu teilen, aber IBM weigerte sich, sie anzuerkennen, und hat sie daher offenbar nicht gepatcht.
IBM weigert sich, Zero-Day-Sicherheitslückenbericht zu akzeptieren?
Der IBM Data Risk Manager ist ein Unternehmensprodukt, das die Datenerkennung und -klassifizierung ermöglicht. Die Plattform enthält detaillierte Analysen zum Geschäftsrisiko, die auf den Informationsressourcen innerhalb des Unternehmens basieren. Die Plattform hat natürlich Zugriff auf wichtige und vertrauliche Informationen über die Unternehmen, die diese verwenden. Bei einer Kompromittierung kann die gesamte Plattform in einen Slave verwandelt werden, der Hackern einen einfachen Zugriff auf noch mehr Software und Datenbanken bietet.
Sicherheitsforscher gibt vier Nulltage bekannt #Vulnerabilitäten Dies wirkt sich auf den IBM Data Risk Manager (IDRM) aus, einen von IBMs #Unternehmenssicherheit Werkzeuge. #Onlinesicherheit https://t.co/jvdcufgQqi https://t.co/2cKjfrCOoz
- David De Sousa (@DavidDeSDrumond) 21. April 2020
Pedro Ribeiro von Agile Information Security in Großbritannien untersuchte Version 2.0.3 von IBM Data Risk Manager und entdeckte Berichten zufolge insgesamt vier Sicherheitslücken. Nachdem Ribeiro die Mängel bestätigt hatte, versuchte er, IBM über das CERT / CC an der Carnegie Mellon University zu informieren. IBM betreibt übrigens die HackerOne-Plattform, die im Wesentlichen ein offizieller Kanal ist, um solche Sicherheitslücken zu melden. Ribeiro ist jedoch kein HackerOne-Benutzer und wollte anscheinend nicht beitreten. Deshalb hat er versucht, CERT / CC zu durchlaufen. Seltsamerweise weigerte sich IBM, die Fehler mit der folgenden Meldung anzuerkennen:
'' Wir haben diesen Bericht bewertet und festgestellt, dass er nicht für unser Programm zur Offenlegung von Sicherheitslücken geeignet ist, da dieses Produkt nur für den von unseren Kunden bezahlten „erweiterten“ Support bestimmt ist . Dies ist in unserer Richtlinie beschrieben https://hackerone.com/ibm . Um zur Teilnahme an diesem Programm berechtigt zu sein, dürfen Sie nicht verpflichtet sein, innerhalb von 6 Monaten vor dem Einreichen eines Berichts Sicherheitstests für die IBM Corporation, eine IBM-Tochtergesellschaft oder einen IBM-Kunden durchzuführen. ''
Nachdem der kostenlose Schwachstellenbericht Berichten zufolge abgelehnt wurde, wurde der Der Forscher veröffentlichte auf GitHub Details zu den vier Themen . Der Forscher versichert, dass der Grund für die Veröffentlichung des Berichts darin bestand, Unternehmen zu gewinnen, die IBM IDRM verwenden Kenntnis der Sicherheitslücken und erlauben Sie ihnen, Abhilfemaßnahmen zu treffen, um Angriffe zu verhindern.
Was sind die 0-Tage-Sicherheitslücken in IBM IDRM?
Von den vier können drei der Sicherheitslücken zusammen verwendet werden, um Root-Rechte für das Produkt zu erlangen. Zu den Fehlern gehören eine Authentifizierungsumgehung, ein Befehlsinjektionsfehler und ein unsicheres Standardkennwort.
Durch die Umgehung der Authentifizierung kann ein Angreifer ein Problem mit einer API missbrauchen, damit die Data Risk Manager-Appliance eine beliebige Sitzungs-ID und einen Benutzernamen akzeptiert und anschließend einen separaten Befehl sendet, um ein neues Kennwort für diesen Benutzernamen zu generieren. Eine erfolgreiche Ausnutzung des Angriffs ermöglicht im Wesentlichen den Zugriff auf die Webadministrationskonsole. Dies bedeutet, dass die Authentifizierungs- oder autorisierten Zugriffssysteme der Plattform vollständig umgangen werden und der Angreifer vollen Administratorzugriff auf IDRM hat.
https://twitter.com/sudoWright/status/1252641787216375818
Mit dem Administratorzugriff kann ein Angreifer die Sicherheitsanfälligkeit bezüglich Befehlsinjektion verwenden, um eine beliebige Datei hochzuladen. Wenn der dritte Fehler mit den ersten beiden Sicherheitsanfälligkeiten kombiniert wird, kann ein nicht authentifizierter Remoteangreifer Remote Code Execution (RCE) als Root auf der virtuellen IDRM-Appliance erreichen, was zu einem vollständigen Systemkompromiss führt. Zusammenfassen der vier Zero-Day-Sicherheitslücken in IBM IDRM:
- Eine Umgehung des IDRM-Authentifizierungsmechanismus
- Ein Befehlsinjektionspunkt in einer der IDRM-APIs, mit dem Angriffe ihre eigenen Befehle in der App ausführen können
- Eine fest codierte Kombination aus Benutzername und Passwort von a3user / idrm
- Eine Sicherheitsanfälligkeit in der IDRM-API, mit der Remote-Hacker Dateien von der IDRM-Appliance herunterladen können
Wenn dies nicht schädlich genug ist, hat der Forscher versprochen, Details zu zwei Metasploit-Modulen preiszugeben, die die Authentifizierung umgehen und die ausnutzen Remote-Code-Ausführung und beliebiger Dateidownload Mängel.
Es ist wichtig zu beachten, dass trotz des Vorhandenseins von Sicherheitslücken in IBM IDRM die Chancen von erfolgreich erfolgreich auszunutzen sind eher schlank . Dies liegt hauptsächlich daran, dass Unternehmen, die IBM IDRM auf ihren Systemen bereitstellen, normalerweise den Zugriff über das Internet verhindern. Wenn die IDRM-Appliance jedoch online verfügbar gemacht wird, können Angriffe remote ausgeführt werden. Darüber hinaus kann ein Angreifer, der Zugriff auf eine Workstation im internen Netzwerk eines Unternehmens hat, möglicherweise die IDRM-Appliance übernehmen. Nach erfolgreicher Kompromittierung kann der Angreifer problemlos Anmeldeinformationen für andere Systeme extrahieren. Dies würde dem Angreifer möglicherweise die Möglichkeit geben, seitlich zu anderen Systemen im Unternehmensnetzwerk zu wechseln.
Stichworte IBM
