安全研究员在公司拒绝修补后披露了四个IBM零天

ibm-data-risk-manager.png
图片:IBM

安全研究人员今天发布了有关四个零日漏洞的详细信息,这些漏洞影响了IBM安全产品,因为该公司在私人漏洞披露尝试后拒绝修补漏洞。

这些错误会影响IBM Data Risk Manager(IDRM),这是一种企业安全工具,可以汇总来自漏洞扫描工具和其他风险管理工具的提要,以便管理员调查安全问题。

敏捷信息安全研究总监,发现这四个错误的人Pedro Ribeiro说:“ IDRM是一种处理非常敏感信息的企业安全产品。”

他补充说:“这种产品的妥协可能导致公司全面遭受损害,因为该工具具有访问其他安全工具的凭据,更不用说它包含影响公司的关键漏洞的信息。”

IBM拒绝修补报告的问题

Ribeiro说,他在IDRM中发现了四个错误,并与CERT / CC团队合作,通过其官方的漏洞披露程序向IBM报告了这些问题。

这位安全研究人员说,尽管他报告了四个错误的严重性,但IBM拒绝接受该错误披露的回答,这似乎是荒谬的回答:

we have assessed this report and closed as being out of scope for our vulnerability disclosure program since this product is only for “enhanced” support paid for by our customers. This is outlined in our policy https://hackerone.com/ibm. To be eligible to participate in this program, you must not be under contract to perform security testing for IBM Corporation, or an IBM subsidiary, or IBM client within 6 months prior to submitting a report.

研究人员说,直到今天,他还没有了解响应的真正含义,并且仍然存在一些问题,例如:

  • “为什么IBM拒绝接受免费的详细漏洞报告?
  • “他们的答案是什么意思?是唯一接受客户的漏洞报告吗?
  • “还是该产品不在支持范围内?如果是,为什么仍要出售给新客户?
  • “在销售企业安全产品时,它们怎么会如此无可厚非?”

里贝罗说:“这是IBM的令人难以置信的回应,IBM是一家市值数十亿美元的公司,正在向全球大型公司出售安全企业产品和安全顾问。”

今天发布在GITHUB上的详细信息

研究人员发现IBM对修补这些错误不感兴趣,因此今天在GitHub上发布了有关这四个问题的详细信息,以便使用该产品的公司可以采取缓解措施,以防止任何攻击。

报告的四个问题是:

  • 绕过IDRM身份验证机制
  • IDRM API之一中的命令注入点,可让攻击在应用程序上运行自己的命令
  • a3user / idrm的硬编码用户名和密码组合
  • IDRM API中的漏洞,它可能允许远程黑客从IDRM设备下载文件

Ribeiro说:“该通报描述了四个漏洞以及将前三个漏洞链接在一起以实现未经身份验证的远程代码执行为根的必要步骤。”

“此外,两个绕过身份验证并利用远程代码执行任意文件下载 功能的Metasploit模块正在向公众发布。”

Ribeiro补充说,所有四个错误都可以远程利用。如果IDRM设备在线暴露,则可以通过Internet进行攻击。通常,这些系统无法在Internet上访问,从而减少了对运行IDRM的组织的影响。

但是,即使IDRM没有在线暴露,可以访问公司内部网络上的工作站的攻击者也可以将这四个bug链接在一起,以接管IDRM设备,提取其他系统的凭据并横向移动到其他系统。公司的网络。

IBM称其为“处理错误”

在今天发送给ZDNet的电子邮件中,IBM似乎很遗憾事件如何进行以及补丁正在开发中。

一位发言人告诉ZDNet:“过程错误导致对向IBM报告这种情况的研究人员的不当回应。”

“我们一直在研究缓解措施,并将在即将发布的安全公告中对其进行讨论。”

一旦发布,我们将通过指向安全公告链接来更新本文,其中包含缓解和补丁信息。

 

*编译:Domino

*来自:ZDNET