Sicherheitslücken in Bezug auf die Zero-Day-RCE-Sicherheit von IBM, die sich auf den Data Risk Manager auswirken, bleiben auch nach der Veröffentlichung ungepatcht?
Berichten zufolge wurden mehrere Sicherheitslücken in IBM Data Risk Manager (IDRM), einem der Unternehmenssicherheitstools von IBM, von einem Sicherheitsforscher eines Drittanbieters aufgedeckt. Übrigens wurden die Zero-Day-Sicherheitslücken noch nicht offiziell anerkannt, geschweige denn von IBM erfolgreich gepatcht.
Ein Forscher, der mindestens vier Sicherheitslücken mit potenziellen RCE-Funktionen (Remote Code Execution) entdeckt hat, ist Berichten zufolge in freier Wildbahn verfügbar. Der Forscher behauptet, er habe versucht, sich an IBM zu wenden und die Details der Sicherheitslücken in der virtuellen Data Risk Manager-Sicherheits-Appliance von IBM zu teilen, aber IBM weigerte sich, sie anzuerkennen, und hat sie daher offenbar nicht gepatcht.
IBM weigert sich, Zero-Day-Sicherheitslückenbericht zu akzeptieren?
Der IBM Data Risk Manager ist ein Unternehmensprodukt, das die Datenerkennung und -klassifizierung ermöglicht. Die Plattform enthält detaillierte Analysen zum Geschäftsrisiko, die auf den Informationsressourcen innerhalb des Unternehmens basieren. Unnötig hinzuzufügen, dass die Plattform Zugriff auf wichtige und vertrauliche Informationen über die Unternehmen hat, die diese verwenden. Bei einer Kompromittierung kann die gesamte Plattform in einen Sklaven verwandelt werden, der Hackern einfachen Zugriff auf noch mehr Software und Datenbanken bietet.
Pedro Ribeiro von Agile Information Security in Großbritannien untersuchte Version 2.0.3 von IBM Data Risk Manager und entdeckte Berichten zufolge insgesamt vier Sicherheitslücken. Nachdem Ribeiro die Mängel bestätigt hatte, versuchte er, IBM über das CERT / CC an der Carnegie Mellon University davon in Kenntnis zu setzen. Im Übrigen betreibt IBM die HackerOne-Plattform, die im Wesentlichen ein offizieller Kanal ist, um solche Sicherheitslücken zu melden. Ribeiro ist jedoch kein HackerOne-Benutzer und wollte anscheinend nicht beitreten. Deshalb hat er versucht, CERT / CC zu durchlaufen. Seltsamerweise weigerte sich IBM, die Fehler mit der folgenden Meldung anzuerkennen:
“Wir haben diesen Bericht bewertet und festgestellt, dass er nicht für unser Programm zur Offenlegung von Sicherheitslücken geeignet ist, da dieses Produkt nur für den von unseren Kunden bezahlten „erweiterten“ Support bestimmt ist. Dies ist in unserer Richtlinie https://hackerone.com/ibm beschrieben. Um zur Teilnahme an diesem Programm berechtigt zu sein, dürfen Sie nicht verpflichtet sein, innerhalb von 6 Monaten vor dem Einreichen eines Berichts Sicherheitstests für die IBM Corporation, eine IBM-Tochtergesellschaft oder einen IBM-Kunden durchzuführen.”
Nachdem der kostenlose Schwachstellenbericht Berichten zufolge abgelehnt wurde, veröffentlichte der Forscher auf GitHub Details zu den vier Problemen. Der Forscher versichert, dass der Grund für die Veröffentlichung des Berichts darin bestand, Unternehmen zu gewinnen, die IBM IDRM verwenden Kenntnis der Sicherheitslücken und erlauben Sie ihnen, Abhilfemaßnahmen zu treffen, um Angriffe zu verhindern.
Was sind die 0-Tage-Sicherheitslücken in IBM IDRM?
Von den vier können drei der Sicherheitslücken zusammen verwendet werden, um Root-Berechtigungen für das Produkt zu erhalten. Zu den Fehlern gehören eine Umgehung der Authentifizierung, ein Fehler bei der Befehlsinjektion und ein unsicheres Standardkennwort.
Die Umgehung der Authentifizierung ermöglicht es einem Angreifer, ein Problem mit einer API zu missbrauchen, damit die Data Risk Manager-Appliance eine beliebige Sitzungs-ID und einen Benutzernamen akzeptiert und anschließend einen separaten Befehl sendet, um ein neues Kennwort für diesen Benutzernamen zu generieren. Eine erfolgreiche Ausnutzung des Angriffs ermöglicht im Wesentlichen den Zugriff auf die Webadministrationskonsole. Dies bedeutet, dass die Authentifizierungs- oder autorisierten Zugangssysteme der Plattform vollständig umgangen werden und der Angreifer vollen administrativen Zugriff auf IDRM hat.
https://twitter.com/sudoWright/status/1252641787216375818
Mit dem Administratorzugriff kann ein Angreifer die Sicherheitsanfälligkeit bezüglich Befehlsinjektion verwenden, um eine beliebige Datei hochzuladen. Wenn der dritte Fehler mit den ersten beiden Sicherheitsanfälligkeiten kombiniert wird, kann ein nicht authentifizierter Remoteangreifer Remote Code Execution (RCE) als Root auf der virtuellen IDRM-Appliance erreichen, was zu einem vollständigen Systemkompromiss führt. Zusammenfassen der vier Zero-Day-Sicherheitslücken in IBM IDRM:
- Eine Umgehung des IDRM-Authentifizierungsmechanismus
- Ein Befehlsinjektionspunkt in einer der IDRM-APIs, mit dem Angriffe ihre eigenen Befehle in der App ausführen können
- Eine fest codierte Kombination aus Benutzername und Passwort vona3user / idrm
- Eine Sicherheitsanfälligkeit in der IDRM-API, mit der Remote-Hacker Dateien von der IDRM-Appliance herunterladen können
Wenn dies nicht schädlich genug ist, hat der Forscher versprochen, Details zu zwei Metasploit-Modulen preiszugeben, die die Authentifizierung umgehen und die Fehler bei der Remotecodeausführung und beim Herunterladen beliebiger Dateien ausnutzen.
Es ist wichtig zu beachten, dass trotz des Vorhandenseins von Sicherheitslücken in IBM IDRM die Chancen von erfolgreich erfolgreich auszunutzen sind eher schlank. Dies liegt hauptsächlich daran, dass Unternehmen, die IBM IDRM auf ihren Systemen bereitstellen, normalerweise den Zugriff über das Internet verhindern. Wenn die IDRM-Appliance jedoch online verfügbar gemacht wird, können Angriffe remote ausgeführt werden. Darüber hinaus kann ein Angreifer, der Zugriff auf eine Workstation im internen Netzwerk eines Unternehmens hat, möglicherweise die IDRM-Appliance übernehmen. Nach erfolgreicher Kompromittierung kann der Angreifer problemlos Anmeldeinformationen für andere Systeme extrahieren. Dies würde dem Angreifer möglicherweise die Möglichkeit geben, seitlich zu anderen Systemen im Unternehmensnetzwerk zu wechseln.