Veri Risk Yöneticisini Etkileyen IBM Zero-Day RCE Güvenlik Açıkları, Genel Yayından Sonra Bile Yamasız Kalıyor mu?
IBM'in kurumsal güvenlik araçlarından biri olan IBM Data Risk Manager (IDRM) içindeki birden fazla güvenlik açığının, bir üçüncü kişi güvenlik araştırmacısı tarafından ortaya çıkarıldığı bildirildi. Bu arada, Zero-Day güvenlik açıkları, IBM tarafından başarıyla yamalanmak şöyle dursun, henüz resmi olarak kabul edilmedi.
Potansiyel Uzaktan Kod Yürütme (RCE) yeteneklerine sahip en az dört güvenlik açığı keşfeden bir araştırmacının vahşi ortamda bulunduğu bildiriliyor. Araştırmacı, IBM'e yaklaşmaya ve IBM'in Data Risk Manager güvenlik sanal aygıtındaki güvenlik kusurlarının ayrıntılarını paylaşmaya çalıştığını, ancak IBM'in bunları kabul etmeyi reddettiğini ve sonuç olarak, görünüşe göre bunları düzeltmeden bıraktığını iddia ediyor.
IBM, Sıfır Gün Güvenlik Açığı Raporunu Kabul Etmeyi Reddediyor mu?
IBM Data Risk Manager, veri keşfi ve sınıflandırması sağlayan kurumsal bir üründür. Platform, kurum içindeki bilgi varlıklarına dayalı iş riski hakkında ayrıntılı analizler içerir. Eklemeye gerek yok, platformun bunları kullanan işletmeler hakkında kritik ve hassas bilgilere erişimi var. Güvenliği ihlal edilirse, tüm platform, bilgisayar korsanlarına daha fazla yazılıma ve veritabanına kolay erişim sağlayabilecek bir köle haline getirilebilir.
İngiltere'deki Agile Information Security'den Pedro Ribeiro, IBM Data Risk Manager'ın 2.0.3 sürümünü araştırdı ve bildirildiğine göre toplam dört güvenlik açığı keşfetti. Kusurları onayladıktan sonra Ribeiro, Carnegie Mellon Üniversitesi'ndeki CERT/CC aracılığıyla IBM'e açıklama yapmaya çalıştı. Bu arada IBM, esasen bu tür güvenlik zayıflıklarını bildirmek için resmi bir kanal olan HackerOne platformunu işletiyor. Ancak, Ribeiro bir HackerOne kullanıcısı değil ve görünüşe göre katılmak istemedi, bu yüzden CERT/CC'den geçmeyi denedi. Garip bir şekilde, IBM aşağıdaki mesajla kusurları kabul etmeyi reddetti:
“Bu raporu değerlendirdik ve bu ürün yalnızca müşterilerimiz tarafından ödenen "gelişmiş" destek için olduğundan, güvenlik açığı açıklama programımızın kapsamı dışında olduğu için kapattık.. Bu, https://hackerone.com/ibm politikamızda özetlenmiştir. Bu programa katılmaya hak kazanmak için, bir rapor göndermeden önceki 6 ay içinde IBM Corporation veya bir IBM yan kuruluşu ya da IBM müşterisi için güvenlik testi yapma sözleşmeniz kapsamında bulunmamalısınız.”
Ücretsiz güvenlik açığı raporunun reddedildiği bildirildikten sonra, araştırmacı GitHub'da dört sorunla ilgili ayrıntıları yayınladı. Araştırmacı, raporu yayınlama nedeninin IBM IDRM kullanan şirketler yapmak olduğunu garanti ediyor. güvenlik açıklarının farkında ve herhangi bir saldırıyı önlemek için azaltıcı önlemleri uygulamaya koymalarına izin verin.
IBM IDRM'deki 0 Günlük Güvenlik Açıkları Nelerdir?
Dört güvenlik açığından üçü, ürün üzerinde kök ayrıcalıkları elde etmek için birlikte kullanılabilir. Kusurlar arasında bir kimlik doğrulama atlaması, bir komut enjeksiyon kusuru ve güvenli olmayan bir varsayılan parola bulunur.
Kimlik doğrulama atlama, bir saldırganın bir API ile ilgili bir sorunu kötüye kullanmasına ve Data Risk Manager cihazının rastgele bir oturum kimliği ve bir kullanıcı adını kabul etmesine ve ardından bu kullanıcı adı için yeni bir parola oluşturmak üzere ayrı bir komut göndermesine olanak tanır. Saldırının başarılı bir şekilde kullanılması, esasen web yönetim konsoluna erişim sağlar. Bu, platformun kimlik doğrulama veya yetkili erişim sistemlerinin tamamen atlandığı ve saldırganın IDRM'ye tam yönetim erişimine sahip olduğu anlamına gelir.
https://twitter.com/sudoWright/status/1252641787216375818
Yönetici erişimiyle bir saldırgan, rastgele bir dosya yüklemek için komut ekleme güvenlik açığını kullanabilir. Üçüncü kusur, ilk iki güvenlik açığıyla birleştirildiğinde, kimliği doğrulanmamış bir uzak saldırganın IDRM sanal aygıtında kök olarak Uzaktan Kod Yürütme (RCE) gerçekleştirmesine olanak tanıyarak tam sistem güvenliğinin ihlal edilmesine yol açar. IBM IDRM'deki dört Sıfır Gün Güvenlik Açıklığı Özeti:
- IDRM kimlik doğrulama mekanizmasının atlanması
- Saldırıların uygulamada kendi komutlarını çalıştırmasını sağlayan IDRM API'lerinden birinde bir komut ekleme noktası
- Sabit kodlanmış bir kullanıcı adı ve şifre kombinasyonua3kullanıcı/idrm
- Uzak bilgisayar korsanlarının IDRM cihazından dosya indirmesine izin verebilen IDRM API'sindeki bir güvenlik açığı
Bu yeterince zarar vermiyorsa, araştırmacı, kimlik doğrulamayı atlayan ve uzaktan kod yürütme ve rastgele dosya indirme kusurlarından yararlanan iki Metasploit modülü hakkında ayrıntıları açıklama sözü verdi.
IBM IDRM içindeki güvenlik açıklarının varlığına rağmen, aynı şeyi başarıyla kullanmak oldukça zayıf. Bunun temel nedeni, sistemlerinde IBM IDRM'yi devreye alan şirketlerin genellikle internet üzerinden erişimi engellemesidir. Ancak, IDRM cihazı çevrimiçi olarak açığa çıkarsa, saldırılar uzaktan gerçekleştirilebilir. Ayrıca, bir şirketin dahili ağındaki bir iş istasyonuna erişimi olan bir saldırgan, potansiyel olarak IDRM cihazını ele geçirebilir. Başarıyla ele geçirildikten sonra, saldırgan diğer sistemler için kimlik bilgilerini kolayca çıkarabilir. Bunlar potansiyel olarak saldırgana şirketin ağındaki diğer sistemlere yanlamasına hareket etme yeteneği verir.