ช่องโหว่ความปลอดภัย IBM Zero-Day RCE ที่ส่งผลกระทบต่อ Data Risk Manager ยังคงไม่ได้รับการแพตช์แม้หลังจากเผยแพร่สู่สาธารณะ?

ความปลอดภัย / ช่องโหว่ความปลอดภัย IBM Zero-Day RCE ที่ส่งผลกระทบต่อ Data Risk Manager ยังคงไม่ได้รับการแพตช์แม้หลังจากเผยแพร่สู่สาธารณะ? อ่าน 3 นาที

IBM ห้องปฏิบัติการแห่งชาติ Oak Ridge

ข้อบกพร่องด้านความปลอดภัยหลายประการภายใน IBM Data Risk Manager (IDRM) ซึ่งเป็นหนึ่งในเครื่องมือรักษาความปลอดภัยระดับองค์กรของ IBM ถูกเปิดเผยโดยนักวิจัยด้านความปลอดภัยบุคคลที่สาม อนึ่งช่องโหว่ด้านความปลอดภัย Zero-Day ยังไม่ได้รับการยอมรับอย่างเป็นทางการนับประสาอะไรกับ IBM

มีรายงานนักวิจัยที่ค้นพบช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องพร้อมความสามารถ Remote Code Execution (RCE) ที่มีอยู่ในป่า นักวิจัยอ้างว่าเขาพยายามเข้าใกล้ IBM และแบ่งปันรายละเอียดของข้อบกพร่องด้านความปลอดภัยภายในอุปกรณ์เสมือนการรักษาความปลอดภัย Data Risk Manager ของ IBM แต่ IBM ปฏิเสธที่จะรับทราบข้อบกพร่องเหล่านี้และเห็นได้ชัดว่าพวกเขาไม่ได้รับการแก้ไข

IBM ปฏิเสธที่จะยอมรับรายงานช่องโหว่ความปลอดภัย Zero-Day?

IBM Data Risk Manager เป็นผลิตภัณฑ์ระดับองค์กรที่จัดเตรียมการค้นหาข้อมูลและการจัดประเภท แพลตฟอร์มนี้รวมถึงการวิเคราะห์โดยละเอียดเกี่ยวกับความเสี่ยงทางธุรกิจที่อ้างอิงจากทรัพย์สินข้อมูลภายในองค์กร ไม่จำเป็นต้องเพิ่มแพลตฟอร์มนี้สามารถเข้าถึงข้อมูลที่สำคัญและละเอียดอ่อนเกี่ยวกับธุรกิจที่ใช้สิ่งเดียวกันได้ หากถูกบุกรุกแพลตฟอร์มทั้งหมดจะกลายเป็นทาสที่สามารถให้แฮกเกอร์เข้าถึงซอฟต์แวร์และฐานข้อมูลได้ง่ายขึ้น

ทางลัดการตัดหน้าจอ onenote

นักวิจัยด้านความปลอดภัยเปิดเผยศูนย์สี่วัน #vulnerabilities ที่ส่งผลกระทบต่อ IBM Data Risk Manager (IDRM) ซึ่งเป็นหนึ่งใน IBM #enterprisesecurity เครื่องมือ #cybersecurity https://t.co/jvdcufgQqi https://t.co/2cKjfrCOoz

- เดวิดเดอซูซา (@DavidDeSDrumond) 21 เมษายน 2020

Pedro Ribeiro แห่ง Agile Information Security ในสหราชอาณาจักรได้ตรวจสอบ IBM Data Risk Manager เวอร์ชัน 2.0.3 และมีรายงานว่าพบช่องโหว่ทั้งหมดสี่ช่อง หลังจากยืนยันข้อบกพร่อง Ribeiro พยายามเปิดเผยต่อ IBM ผ่าน CERT / CC ที่มหาวิทยาลัยคาร์เนกีเมลลอน อนึ่ง IBM ใช้งานแพลตฟอร์ม HackerOne ซึ่งโดยพื้นฐานแล้วเป็นช่องทางการรายงานจุดอ่อนด้านความปลอดภัยดังกล่าว อย่างไรก็ตาม Ribeiro ไม่ใช่ผู้ใช้ HackerOne และดูเหมือนว่าจะไม่ต้องการเข้าร่วมดังนั้นเขาจึงลองใช้ CERT / CC น่าแปลกที่ IBM ปฏิเสธที่จะรับทราบข้อบกพร่องด้วยข้อความต่อไปนี้:

การอัปเดต windows 8 ล้มเหลว

' เราได้ประเมินรายงานนี้แล้วและปิดว่าอยู่นอกขอบเขตของโปรแกรมการเปิดเผยช่องโหว่ของเราเนื่องจากผลิตภัณฑ์นี้มีไว้สำหรับการสนับสนุนที่ 'ปรับปรุงแล้ว' ที่ลูกค้าของเราจ่ายให้เท่านั้น . สิ่งนี้ระบุไว้ในนโยบายของเรา https://hackerone.com/ibm . เพื่อให้มีสิทธิ์เข้าร่วมโปรแกรมนี้คุณต้องไม่อยู่ภายใต้สัญญาที่จะทำการทดสอบความปลอดภัยสำหรับ IBM Corporation หรือ บริษัท ย่อยของ IBM หรือไคลเอ็นต์ IBM ภายใน 6 เดือนก่อนที่จะส่งรายงาน '

หลังจากรายงานช่องโหว่ฟรีถูกปฏิเสธแล้วไฟล์ นักวิจัยเผยแพร่รายละเอียดเกี่ยวกับ GitHub เกี่ยวกับประเด็นทั้งสี่ . ผู้วิจัยมั่นใจว่าเหตุผลในการเผยแพร่รายงานคือการทำให้ บริษัท ที่ใช้ IBM IDRM ตระหนักถึงข้อบกพร่องด้านความปลอดภัย และอนุญาตให้มีการบรรเทาทุกข์เพื่อป้องกันการโจมตีใด ๆ

ช่องโหว่ด้านความปลอดภัย 0 วันใน IBM IDRM คืออะไร?

จากสี่ข้อบกพร่องด้านความปลอดภัยสามข้อสามารถใช้ร่วมกันเพื่อรับสิทธิ์ root บนผลิตภัณฑ์ ข้อบกพร่อง ได้แก่ บายพาสการตรวจสอบความถูกต้องข้อบกพร่องในการแทรกคำสั่งและรหัสผ่านเริ่มต้นที่ไม่ปลอดภัย

การเลี่ยงผ่านการตรวจสอบความถูกต้องช่วยให้ผู้โจมตีสามารถใช้ API ในทางที่ผิดเพื่อให้อุปกรณ์ Data Risk Manager ยอมรับรหัสเซสชันและชื่อผู้ใช้โดยพลการจากนั้นส่งคำสั่งแยกต่างหากเพื่อสร้างรหัสผ่านใหม่สำหรับชื่อผู้ใช้นั้น การใช้ประโยชน์จากการโจมตีที่ประสบความสำเร็จจะทำให้สามารถเข้าถึงคอนโซลการดูแลระบบเว็บได้ ซึ่งหมายความว่าระบบการตรวจสอบสิทธิ์ของแพลตฟอร์มหรือระบบการเข้าถึงที่ได้รับอนุญาตจะถูกข้ามไปโดยสิ้นเชิงและผู้โจมตีมีสิทธิ์เข้าถึง IDRM ระดับผู้ดูแลระบบโดยสมบูรณ์

https://twitter.com/sudoWright/status/1252641787216375818

facetime บนกล้อง mac ไม่ทำงาน

ด้วยการเข้าถึงของผู้ดูแลระบบผู้โจมตีสามารถใช้ช่องโหว่การแทรกคำสั่งเพื่ออัปโหลดไฟล์โดยพลการ เมื่อข้อบกพร่องที่สามรวมเข้ากับช่องโหว่สองช่องแรกจะช่วยให้ผู้โจมตีระยะไกลที่ไม่ได้รับการรับรองความถูกต้องสามารถบรรลุ Remote Code Execution (RCE) เป็นรูทบนอุปกรณ์เสมือน IDRM ซึ่งนำไปสู่การบุกรุกระบบโดยสมบูรณ์ สรุปช่องโหว่ความปลอดภัย Zero-Day ทั้งสี่ใน IBM IDRM:

การหลีกเลี่ยงกลไกการพิสูจน์ตัวตน IDRM
จุดแทรกคำสั่งใน IDRM API ที่ให้การโจมตีเรียกใช้คำสั่งของตนเองบนแอป
ชื่อผู้ใช้และรหัสผ่านแบบฮาร์ดโค้ดของ a3user / idrm
ช่องโหว่ใน IDRM API ที่ทำให้แฮกเกอร์ระยะไกลสามารถดาวน์โหลดไฟล์จากอุปกรณ์ IDRM ได้

หากยังไม่สร้างความเสียหายเพียงพอนักวิจัยได้สัญญาว่าจะเปิดเผยรายละเอียดเกี่ยวกับโมดูล Metasploit สองโมดูลที่ข้ามการตรวจสอบความถูกต้องและใช้ประโยชน์จาก การเรียกใช้รหัสระยะไกล และ ดาวน์โหลดไฟล์โดยพลการ ข้อบกพร่อง.

สิ่งสำคัญคือต้องทราบว่าแม้จะมีช่องโหว่ด้านความปลอดภัยภายใน IBM IDRM แต่ก็มีโอกาสเกิดขึ้นได้ การใช้ประโยชน์จากสิ่งเดียวกันนั้นค่อนข้างน้อย . เนื่องจาก บริษัท ที่ติดตั้ง IBM IDRM ในระบบของตนมักจะป้องกันการเข้าถึงผ่านอินเทอร์เน็ต อย่างไรก็ตามหากอุปกรณ์ IDRM ถูกเปิดเผยทางออนไลน์การโจมตีสามารถดำเนินการจากระยะไกลได้ ยิ่งไปกว่านั้นผู้โจมตีที่สามารถเข้าถึงเวิร์กสเตชันบนเครือข่ายภายในของ บริษัท สามารถเข้ายึดอุปกรณ์ IDRM ได้ เมื่อโจมตีสำเร็จผู้โจมตีสามารถดึงข้อมูลรับรองสำหรับระบบอื่น ๆ ได้อย่างง่ายดาย สิ่งเหล่านี้อาจทำให้ผู้โจมตีสามารถเคลื่อนที่ไปด้านข้างไปยังระบบอื่น ๆ บนเครือข่ายของ บริษัท ได้

แท็ก ไอบีเอ็ม