Un investigador de ciberseguridad hoy reveló públicamente detalles técnicos y PoC para 4 vulnerabilidades de día cero sin parches que afectan a un software de seguridad empresarial ofrecido por IBM después de que la compañía se negó a reconocer la divulgación presentada responsablemente.
El producto premium afectado en cuestión es IBM Data Risk Manager (IDRM) que ha sido diseñado para analizar los activos de información empresarial confidencial de una organización y determinar los riesgos asociados.
De acuerdo con Pedro Ribeiro de la firma Agile Information Security, IBM Data Risk Manager contiene tres vulnerabilidades de gravedad crítica y un error de alto impacto, todos enumerados a continuación, que pueden ser explotados por un atacante no autenticado accesible a través de la red, y cuando se encadenan juntos también podría conducir a la ejecución remota de código como raíz.
- Bypass de autenticación
- Inyección de comandos
- Contraseña predeterminada insegura
- Descarga de archivos arbitrarios
Ribeiro probó con éxito las fallas contra IBM Data Risk Manager versión 2.0.1 a 2.0.3, que no es la última versión del software, pero cree que también funcionan a través de 2.0.4 a la última versión 2.0.6 porque “no hay mención de vulnerabilidades fijas en cualquier registro de cambios “.
“IDRM es un producto de seguridad empresarial que maneja información muy confidencial. Un compromiso de dicho producto podría conducir a un compromiso de la compañía a gran escala, ya que la herramienta tiene credenciales para acceder a otras herramientas de seguridad, sin mencionar que contiene información sobre vulnerabilidades críticas que afectar a la empresa “, dijo Ribeiro.
Vulnerabilidades críticas de día cero en IBM Data Risk Manager
En resumen, la falla de omisión de autenticación explota un error lógico en la función de ID de sesión para restablecer la contraseña de cualquier cuenta existente, incluido el administrador.
La falla de inyección de comandos reside en la forma en que el software de seguridad empresarial de IBM permite a los usuarios realizar escaneos de red utilizando scripts Nmap, que aparentemente pueden estar equipados con comandos maliciosos cuando los atacantes los suministran.
De acuerdo con la divulgación de vulnerabilidad, para SSH y ejecutar comandos sudo, el dispositivo virtual IDRM también tiene un usuario administrativo incorporado con nombre de usuario “a3user” y contraseña predeterminada de “idrm”, que si no se modifica, podría permitir a los atacantes remotos tomar el control total sobre Los sistemas específicos.
La última vulnerabilidad reside en un punto final API que permite a los usuarios autenticados descargar archivos de registro del sistema. Sin embargo, según el investigador, uno de los parámetros para este punto final sufre una falla transversal del directorio que podría permitir a los usuarios maliciosos descargar cualquier archivo del sistema.
Además de los detalles técnicos, el investigador también ha lanzado dos módulos Metasploit para omisión de autenticación, ejecución remota de código y problemas de descarga de archivos arbitrarios .
Ribeiro afirma haber informado este problema a IBM a través de CERT / CC y, en respuesta, la compañía se negó a aceptar el informe de vulnerabilidad y dijo: “Hemos evaluado este informe y cerramos por estar fuera del alcance de nuestro programa de divulgación de vulnerabilidad ya que este producto es solo para soporte “mejorado” pagado por nuestros clientes “.
En respuesta, Ribeiro dijo: “En cualquier caso, no solicité ni esperé una recompensa ya que no tengo una cuenta de HackerOne y no estoy de acuerdo con los términos de divulgación de HackerOne o IBM allí. Simplemente quería divulgarlos a IBM de manera responsable y deja que lo arreglen “.
The Hacker News se ha comunicado con IBM, y actualizaremos el artículo a medida que haya más información disponible.
https://github.com/pedrib/PoC/blob/master/advisories/IBM/ibm_drm/ibm_drm_rce.md