ช่องโหว่ด้านความปลอดภัย RCE Zero-Day RCE ของ IBM ที่ส่งผลกระทบต่อ Data Risk Manager ยังคงไม่ได้รับการแก้ไขแม้หลังจากเผยแพร่สู่สาธารณะแล้ว

ข้อบกพร่องด้านความปลอดภัยหลายประการภายใน IBM Data Risk Manager (IDRM) ซึ่งเป็นหนึ่งในเครื่องมือรักษาความปลอดภัยระดับองค์กรของ IBM ถูกเปิดเผยโดยนักวิจัยด้านความปลอดภัยบุคคลที่สาม อนึ่งช่องโหว่ด้านความปลอดภัย Zero-Day ยังไม่ได้รับการยอมรับอย่างเป็นทางการนับประสาอะไรกับ IBM

มีรายงานนักวิจัยที่ค้นพบช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องพร้อมความสามารถ Remote Code Execution (RCE) ที่มีอยู่ในป่า นักวิจัยอ้างว่าเขาพยายามเข้าใกล้ IBM และแบ่งปันรายละเอียดของข้อบกพร่องด้านความปลอดภัยภายในอุปกรณ์เสมือนการรักษาความปลอดภัย Data Risk Manager ของ IBM แต่ IBM ปฏิเสธที่จะรับทราบข้อบกพร่องเหล่านี้และเห็นได้ชัดว่าได้ปล่อยให้ไม่มีการปะติดปะต่อ

IBM ปฏิเสธที่จะยอมรับรายงานช่องโหว่ความปลอดภัย Zero-Day?

IBM Data Risk Manager เป็นผลิตภัณฑ์ระดับองค์กรที่จัดเตรียมการค้นหาข้อมูลและการจัดประเภท แพลตฟอร์มนี้รวมถึงการวิเคราะห์โดยละเอียดเกี่ยวกับความเสี่ยงทางธุรกิจที่อ้างอิงจากทรัพย์สินข้อมูลภายในองค์กร ไม่จำเป็นต้องเพิ่มแพลตฟอร์มสามารถเข้าถึงข้อมูลที่สำคัญและละเอียดอ่อนเกี่ยวกับธุรกิจที่ใช้สิ่งเดียวกัน หากถูกบุกรุกแพลตฟอร์มทั้งหมดจะกลายเป็นทาสที่สามารถให้แฮกเกอร์เข้าถึงซอฟต์แวร์และฐานข้อมูลได้ง่ายขึ้น

Pedro Ribeiro แห่ง Agile Information Security ในสหราชอาณาจักรได้ตรวจสอบ IBM Data Risk Manager เวอร์ชัน 2.0.3 และมีรายงานว่าพบช่องโหว่ทั้งหมดสี่ช่อง หลังจากยืนยันข้อบกพร่องแล้ว Ribeiro พยายามเปิดเผยต่อ IBM ผ่าน CERT / CC ที่มหาวิทยาลัยคาร์เนกีเมลลอน อนึ่ง IBM ใช้งานแพลตฟอร์ม HackerOne ซึ่งโดยพื้นฐานแล้วเป็นช่องทางการรายงานจุดอ่อนด้านความปลอดภัยดังกล่าว อย่างไรก็ตาม Ribeiro ไม่ใช่ผู้ใช้ HackerOne และเห็นได้ชัดว่าไม่ต้องการเข้าร่วมเขาจึงลองผ่าน CERT / CC น่าแปลกที่ IBM ปฏิเสธที่จะรับทราบข้อบกพร่องด้วยข้อความต่อไปนี้:

เราได้ประเมินรายงานนี้แล้วและปิดว่าอยู่นอกขอบเขตของโปรแกรมการเปิดเผยช่องโหว่ของเราเนื่องจากผลิตภัณฑ์นี้มีไว้สำหรับการสนับสนุนที่ "ปรับปรุงแล้ว" ที่ลูกค้าของเราจ่ายให้เท่านั้น. มีระบุไว้ในนโยบายของเรา https://hackerone.com/ibm เพื่อให้มีสิทธิ์เข้าร่วมโปรแกรมนี้คุณต้องไม่อยู่ภายใต้สัญญาที่จะทำการทดสอบความปลอดภัยสำหรับ IBM Corporation หรือ บริษัท ย่อยของ IBM หรือไคลเอ็นต์ IBM ภายใน 6 เดือนก่อนส่งรายงาน

หลังจากมีรายงานว่ามีการปฏิเสธรายงานช่องโหว่ฟรีนักวิจัยได้เผยแพร่รายละเอียดบน GitHub เกี่ยวกับประเด็นทั้งสี่ ผู้วิจัยมั่นใจว่าเหตุผลในการเผยแพร่รายงานคือการทำให้ บริษัท ต่างๆที่ใช้ IBM IDRM ตระหนักถึงข้อบกพร่องด้านความปลอดภัย และอนุญาตให้มีการบรรเทาทุกข์เพื่อป้องกันการโจมตีใด ๆ

ช่องโหว่ด้านความปลอดภัย 0 วันใน IBM IDRM คืออะไร?

ข้อบกพร่องด้านความปลอดภัยทั้งสี่ข้อสามข้อสามารถใช้ร่วมกันเพื่อรับสิทธิ์ root บนผลิตภัณฑ์ได้ ข้อบกพร่องดังกล่าวรวมถึงการเลี่ยงผ่านการตรวจสอบ ข้อบกพร่องในการแทรกคำสั่ง และรหัสผ่านเริ่มต้นที่ไม่ปลอดภัย

การเลี่ยงผ่านการตรวจสอบความถูกต้องช่วยให้ผู้โจมตีสามารถใช้ API ในทางที่ผิดเพื่อให้อุปกรณ์ Data Risk Manager ยอมรับรหัสเซสชันและชื่อผู้ใช้โดยพลการจากนั้นส่งคำสั่งแยกต่างหากเพื่อสร้างรหัสผ่านใหม่สำหรับชื่อผู้ใช้นั้น การใช้ประโยชน์จากการโจมตีที่ประสบความสำเร็จโดยพื้นฐานแล้วทำให้สามารถเข้าถึงคอนโซลการดูแลระบบเว็บได้ ซึ่งหมายความว่าระบบการตรวจสอบสิทธิ์ของแพลตฟอร์มหรือระบบการเข้าถึงที่ได้รับอนุญาตจะถูกข้ามไปโดยสิ้นเชิงและผู้โจมตีมีสิทธิ์เข้าถึง IDRM ระดับผู้ดูแลระบบโดยสมบูรณ์

https://twitter.com/sudoWright/status/1252641787216375818

ด้วยการเข้าถึงของผู้ดูแลระบบผู้โจมตีสามารถใช้ช่องโหว่การแทรกคำสั่งเพื่ออัปโหลดไฟล์โดยพลการ เมื่อข้อบกพร่องที่สามรวมเข้ากับช่องโหว่สองช่องแรกจะช่วยให้ผู้โจมตีระยะไกลที่ไม่ได้รับการรับรองความถูกต้องสามารถบรรลุ Remote Code Execution (RCE) เป็นรูทบนอุปกรณ์เสมือน IDRM ซึ่งนำไปสู่การบุกรุกระบบโดยสมบูรณ์ สรุปสี่ช่องโหว่ด้านความปลอดภัย Zero-Day ใน IBM IDRM:

  • การหลีกเลี่ยงกลไกการพิสูจน์ตัวตน IDRM
  • จุดแทรกคำสั่งใน IDRM API ที่ให้การโจมตีเรียกใช้คำสั่งของตนเองบนแอป
  • ชื่อผู้ใช้และรหัสผ่านแบบฮาร์ดโค้ดของa3user / idrm
  • ช่องโหว่ใน IDRM API ที่ทำให้แฮกเกอร์ระยะไกลสามารถดาวน์โหลดไฟล์จากอุปกรณ์ IDRM ได้

หากยังไม่สร้างความเสียหายมากพอนักวิจัยได้สัญญาว่าจะเปิดเผยรายละเอียดเกี่ยวกับโมดูล Metasploit สองโมดูลที่ข้ามการตรวจสอบสิทธิ์และใช้ประโยชน์จากการเรียกใช้โค้ดจากระยะไกลและข้อบกพร่องในการดาวน์โหลดไฟล์โดยพลการ

สิ่งสำคัญคือต้องทราบว่าแม้จะมีช่องโหว่ด้านความปลอดภัยภายใน IBM IDRM แต่ก็มีโอกาสเกิดขึ้นได้ ประสบความสำเร็จในการใช้ประโยชน์จากสิ่งเดียวกันนั้นค่อนข้างบาง. สาเหตุหลักมาจากบริษัทที่ปรับใช้ IBM IDRM บนระบบของพวกเขามักจะป้องกันการเข้าถึงผ่านอินเทอร์เน็ต อย่างไรก็ตามหากอุปกรณ์ IDRM ถูกเปิดเผยทางออนไลน์การโจมตีสามารถดำเนินการจากระยะไกลได้ ยิ่งไปกว่านั้นผู้โจมตีที่สามารถเข้าถึงเวิร์กสเตชันบนเครือข่ายภายในของ บริษัท สามารถเข้ายึดอุปกรณ์ IDRM ได้ เมื่อโจมตีสำเร็จผู้โจมตีสามารถดึงข้อมูลรับรองสำหรับระบบอื่น ๆ ได้อย่างง่ายดาย สิ่งเหล่านี้อาจทำให้ผู้โจมตีสามารถเคลื่อนที่ไปด้านข้างไปยังระบบอื่น ๆ บนเครือข่ายของ บริษัท ได้

Facebook Twitter Google Plus Pinterest