ช่องโหว่ด้านความปลอดภัย RCE Zero-Day RCE ของ IBM ที่ส่งผลกระทบต่อ Data Risk Manager ยังคงไม่ได้รับการแก้ไขแม้หลังจากเผยแพร่สู่สาธารณะแล้ว

ข้อบกพร่องด้านความปลอดภัยหลายประการภายใน IBM Data Risk Manager (IDRM) ซึ่งเป็นหนึ่งในเครื่องมือรักษาความปลอดภัยระดับองค์กรของ IBM ถูกเปิดเผยโดยนักวิจัยด้านความปลอดภัยบุคคลที่สาม อนึ่งช่องโหว่ด้านความปลอดภัย Zero-Day ยังไม่ได้รับการยอมรับอย่างเป็นทางการนับประสาอะไรกับ IBM

มีรายงานนักวิจัยที่ค้นพบช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องพร้อมความสามารถ Remote Code Execution (RCE) ที่มีอยู่ในป่า นักวิจัยอ้างว่าเขาพยายามเข้าใกล้ IBM และแบ่งปันรายละเอียดของข้อบกพร่องด้านความปลอดภัยภายในอุปกรณ์เสมือนการรักษาความปลอดภัย Data Risk Manager ของ IBM แต่ IBM ปฏิเสธที่จะรับทราบข้อบกพร่องเหล่านี้และเห็นได้ชัดว่าได้ปล่อยให้ไม่มีการปะติดปะต่อ

IBM ปฏิเสธที่จะยอมรับรายงานช่องโหว่ความปลอดภัย Zero-Day?

IBM Data Risk Manager เป็นผลิตภัณฑ์ระดับองค์กรที่จัดเตรียมการค้นหาข้อมูลและการจัดประเภท แพลตฟอร์มนี้รวมถึงการวิเคราะห์โดยละเอียดเกี่ยวกับความเสี่ยงทางธุรกิจที่อ้างอิงจากทรัพย์สินข้อมูลภายในองค์กร ไม่จำเป็นต้องเพิ่มแพลตฟอร์มสามารถเข้าถึงข้อมูลที่สำคัญและละเอียดอ่อนเกี่ยวกับธุรกิจที่ใช้สิ่งเดียวกัน หากถูกบุกรุกแพลตฟอร์มทั้งหมดจะกลายเป็นทาสที่สามารถให้แฮกเกอร์เข้าถึงซอฟต์แวร์และฐานข้อมูลได้ง่ายขึ้น

Pedro Ribeiro แห่ง Agile Information Security ในสหราชอาณาจักรได้ตรวจสอบ IBM Data Risk Manager เวอร์ชัน 2.0.3 และมีรายงานว่าพบช่องโหว่ทั้งหมดสี่ช่อง หลังจากยืนยันข้อบกพร่องแล้ว Ribeiro พยายามเปิดเผยต่อ IBM ผ่าน CERT / CC ที่มหาวิทยาลัยคาร์เนกีเมลลอน อนึ่ง IBM ใช้งานแพลตฟอร์ม HackerOne ซึ่งโดยพื้นฐานแล้วเป็นช่องทางการรายงานจุดอ่อนด้านความปลอดภัยดังกล่าว อย่างไรก็ตาม Ribeiro ไม่ใช่ผู้ใช้ HackerOne และเห็นได้ชัดว่าไม่ต้องการเข้าร่วมเขาจึงลองผ่าน CERT / CC น่าแปลกที่ IBM ปฏิเสธที่จะรับทราบข้อบกพร่องด้วยข้อความต่อไปนี้:

เราได้ประเมินรายงานนี้แล้วและปิดว่าอยู่นอกขอบเขตของโปรแกรมการเปิดเผยช่องโหว่ของเราเนื่องจากผลิตภัณฑ์นี้มีไว้สำหรับการสนับสนุนที่ "ปรับปรุงแล้ว" ที่ลูกค้าของเราจ่ายให้เท่านั้น. มีระบุไว้ในนโยบายของเรา https://hackerone.com/ibm เพื่อให้มีสิทธิ์เข้าร่วมโปรแกรมนี้คุณต้องไม่อยู่ภายใต้สัญญาที่จะทำการทดสอบความปลอดภัยสำหรับ IBM Corporation หรือ บริษัท ย่อยของ IBM หรือไคลเอ็นต์ IBM ภายใน 6 เดือนก่อนส่งรายงาน

หลังจากมีรายงานว่ามีการปฏิเสธรายงานช่องโหว่ฟรีนักวิจัยได้เผยแพร่รายละเอียดบน GitHub เกี่ยวกับประเด็นทั้งสี่ ผู้วิจัยมั่นใจว่าเหตุผลในการเผยแพร่รายงานคือการทำให้ บริษัท ต่างๆที่ใช้ IBM IDRM ตระหนักถึงข้อบกพร่องด้านความปลอดภัย และอนุญาตให้มีการบรรเทาทุกข์เพื่อป้องกันการโจมตีใด ๆ

ช่องโหว่ด้านความปลอดภัย 0 วันใน IBM IDRM คืออะไร?

ข้อบกพร่องด้านความปลอดภัยทั้งสี่ข้อสามข้อสามารถใช้ร่วมกันเพื่อรับสิทธิ์ root บนผลิตภัณฑ์ได้ ข้อบกพร่องดังกล่าวรวมถึงการเลี่ยงผ่านการตรวจสอบ ข้อบกพร่องในการแทรกคำสั่ง และรหัสผ่านเริ่มต้นที่ไม่ปลอดภัย

การเลี่ยงผ่านการตรวจสอบความถูกต้องช่วยให้ผู้โจมตีสามารถใช้ API ในทางที่ผิดเพื่อให้อุปกรณ์ Data Risk Manager ยอมรับรหัสเซสชันและชื่อผู้ใช้โดยพลการจากนั้นส่งคำสั่งแยกต่างหากเพื่อสร้างรหัสผ่านใหม่สำหรับชื่อผู้ใช้นั้น การใช้ประโยชน์จากการโจมตีที่ประสบความสำเร็จโดยพื้นฐานแล้วทำให้สามารถเข้าถึงคอนโซลการดูแลระบบเว็บได้ ซึ่งหมายความว่าระบบการตรวจสอบสิทธิ์ของแพลตฟอร์มหรือระบบการเข้าถึงที่ได้รับอนุญาตจะถูกข้ามไปโดยสิ้นเชิงและผู้โจมตีมีสิทธิ์เข้าถึง IDRM ระดับผู้ดูแลระบบโดยสมบูรณ์

https://twitter.com/sudoWright/status/1252641787216375818

ด้วยการเข้าถึงของผู้ดูแลระบบผู้โจมตีสามารถใช้ช่องโหว่การแทรกคำสั่งเพื่ออัปโหลดไฟล์โดยพลการ เมื่อข้อบกพร่องที่สามรวมเข้ากับช่องโหว่สองช่องแรกจะช่วยให้ผู้โจมตีระยะไกลที่ไม่ได้รับการรับรองความถูกต้องสามารถบรรลุ Remote Code Execution (RCE) เป็นรูทบนอุปกรณ์เสมือน IDRM ซึ่งนำไปสู่การบุกรุกระบบโดยสมบูรณ์ สรุปสี่ช่องโหว่ด้านความปลอดภัย Zero-Day ใน IBM IDRM:

  • การหลีกเลี่ยงกลไกการพิสูจน์ตัวตน IDRM
  • จุดแทรกคำสั่งใน IDRM API ที่ให้การโจมตีเรียกใช้คำสั่งของตนเองบนแอป
  • ชื่อผู้ใช้และรหัสผ่านแบบฮาร์ดโค้ดของa3user / idrm
  • ช่องโหว่ใน IDRM API ที่ทำให้แฮกเกอร์ระยะไกลสามารถดาวน์โหลดไฟล์จากอุปกรณ์ IDRM ได้

หากยังไม่สร้างความเสียหายมากพอนักวิจัยได้สัญญาว่าจะเปิดเผยรายละเอียดเกี่ยวกับโมดูล Metasploit สองโมดูลที่ข้ามการตรวจสอบสิทธิ์และใช้ประโยชน์จากการเรียกใช้โค้ดจากระยะไกลและข้อบกพร่องในการดาวน์โหลดไฟล์โดยพลการ

สิ่งสำคัญคือต้องทราบว่าแม้จะมีช่องโหว่ด้านความปลอดภัยภายใน IBM IDRM แต่ก็มีโอกาสเกิดขึ้นได้ ประสบความสำเร็จในการใช้ประโยชน์จากสิ่งเดียวกันนั้นค่อนข้างบาง. สาเหตุหลักมาจากบริษัทที่ปรับใช้ IBM IDRM บนระบบของพวกเขามักจะป้องกันการเข้าถึงผ่านอินเทอร์เน็ต อย่างไรก็ตามหากอุปกรณ์ IDRM ถูกเปิดเผยทางออนไลน์การโจมตีสามารถดำเนินการจากระยะไกลได้ ยิ่งไปกว่านั้นผู้โจมตีที่สามารถเข้าถึงเวิร์กสเตชันบนเครือข่ายภายในของ บริษัท สามารถเข้ายึดอุปกรณ์ IDRM ได้ เมื่อโจมตีสำเร็จผู้โจมตีสามารถดึงข้อมูลรับรองสำหรับระบบอื่น ๆ ได้อย่างง่ายดาย สิ่งเหล่านี้อาจทำให้ผู้โจมตีสามารถเคลื่อนที่ไปด้านข้างไปยังระบบอื่น ๆ บนเครือข่ายของ บริษัท ได้

Facebook Twitter Google Plus Pinterest
แนะนำ
Sharepoint ไม่แสดงทั้งเอกสาร Word
Sharepoint ไม่แสดงทั้งเอกสาร Word
ทำอย่างไร
วิธีแก้ไข Kodi จะไม่เปิดข้อผิดพลาดบน Windows?
วิธีแก้ไข Kodi จะไม่เปิดข้อผิดพลาดบน Windows?
Chrome OS
วิธีรับการอัปเดตล่าสุดของ Chrome OS ก่อนที่จะเผยแพร่
วิธีรับการอัปเดตล่าสุดของ Chrome OS ก่อนที่จะเผยแพร่
Chrome OS
แก้ไข: Destiny Error Code Guitar
แก้ไข: Destiny Error Code Guitar
ทำอย่างไร
สมัครสมาชิก