Seria 0-dayów w IBM Data Risk Manager; IBM nie przyjął zgłoszenia o podatności

21 kwietnia 2020, 13:22 | W biegu | komentarzy 5
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Pedro Ribeiro ujawnił dzisiaj serię 0-dayów w oprogramowaniu klasy enterprise: IBM Data Risk Manager. Zgodnie z opisem na oficjalnej stronie:

IBM Data Risk Manager udostępnia wyższej kadrze kierowniczej i jej współpracownikom praktycznie użyteczne centrum sterowania ryzykiem dla danych. Rozwiązanie to pomaga w wykrywaniu, analizowaniu i wizualizacji zagrożeń biznesowych związanych z danymi, a w efekcie otwiera drogę do podejmowania właściwych działań zapobiegawczych.

Skąd decyzja o ujawnieniu podatności? Pedro próbował skontaktować się z IBM (z pomocą CERT/CC), lecz firma nie przyjęła jego zgłoszenia. Odpowiedzieli w następujący sposób:

we have assessed this report and closed as being out of scope for our vulnerability disclosure program since this product is only for „enhanced” support paid for by our customers.

Trudno zrozumieć, dlaczego produkty z „enhanced support” nie wliczają się w bug bounty… Autor podaje, że jemu nie zależało na jakimkolwiek bounty, jedynie chciał w sposób odpowiedzialny zgłosić błąd bezpieczeństwa do producenta.

Same błędy są dość ciekawe i proste w wykorzystaniu:

  • Ominięcie uwierzytelnienia (możliwość zalogowania na admina bez znajomości hasła),
  • Command Injection (możliwość wykonania dowolnego kodu systemu operacyjnego),
  • Słabe domyślne hasło: W systemie jest dwóch domyślnych użytkowników: admina3user. Domyślne hasło dla tego drugiego to idrm. O ile po zalogowaniu wymagany jest reset hasła dla użytkownika admin, o tyle nie ma takiego samego monitu dla a3user. Ten użytkownik może zalogować się po ssh, gdzie ma też uprawnienia do sudo.
  • Możliwość pobierania dowolnych plików z dysku serwera.

Exploity zostały wydane w postaci modułów do metasploita, a ich działanie można zobaczyć na tej podstronie w Asciinema (pokazane są pierwsze trzy błędy powyżej: przejęcie uprawnień admina, wykonanie dowolnego polecenia systemu operacyjnego i eskalacja do roota przez sudo).

Błędy nie są załatane. Nie wiadomo też czy i kiedy IBM planuje je naprawić.

— mb

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Odpowiedz
  2. Zbyszek

    No bez kitu, mogli mu trochę sypnąć groszem. Takie podejście typu „spadaj na drzewo” przyniesie więcej strat niż odmowa wypłaty.

    Odpowiedz
  3. Szymon

    Dla kogoś kto pracował w IBM fraza ‚out of scope’ jest bardzo dobrze znana. Po prostu Pedro zgłosił się do złego działu. Zapewne produkty z rozszerzonym wsparciem są obsługiwane przez inny zespół. To jaki to jest zespół nie było nikomu znane, dlatego zgłoszenie odrzucono. Normalne :)

    Odpowiedz
  4. h0rac

    Poczekajcie, na zakonczenie sprawy – jest w toku. Narazie bym nie ocenial nikogo ani researchera ani IBM.

    Odpowiedz
  5. Wójt

    Trochę pod BTW#3, nie trzeba nawet było pliku na serwer wrzucać (o ile domyślną konsolą jest bash), bo:
    nmap –script=<(echo 'os.execute("COMMAND")')

    Odpowiedz

Odpowiedz na Wójt