24 abr. 2020

Cuatro 0-Day en IBM Data Risk Manager (IDRM) son publicados luego que IBM se niege a solucionarlo

Un investigador de seguridad ha publicado los detalles sobre cuatro vulnerabilidades 0-Day que afectan a un producto de seguridad de IBM, después de que la compañía se negara a corregirlos.

Pedro Ribeiro, Director de Investigación de Agile Information Security, y quien descubrió los cuatro errores dijo que trabajó con el equipo CERT/CC para informar los problemas a IBM a través de su programa oficial de divulgación de vulnerabilidad de errores.
Los errores afectan a IBM Data Risk Manager (IDRM), una herramienta de seguridad empresarial que agrega feeds de herramientas de escaneo de vulnerabilidades y otras herramientas de gestión de riesgos para permitir a los administradores investigar problemas de seguridad.

"IDRM es un producto de seguridad empresarial que maneja información muy sensible. El compromiso de uno de estos productos podría llevar a un compromiso de la compañía a gran escala, ya que la herramienta tiene credenciales para acceder a otras herramientas de seguridad, sin mencionar que contiene información sobre vulnerabilidades críticas que afectan a la compañía", dijo Ribeiro.

El investigador de seguridad dijo que a pesar de la gravedad de los cuatro errores que informó, IBM se negó a aceptar la divulgación de errores respondiendo con lo que parece ser una respuesta sin sentido: "hemos evaluado este informe y cerrado como fuera del alcance de nuestro programa de divulgación de vulnerabilidades ya que este producto es solo para soporte "mejorado" pagado por nuestros clientes".

El investigador dijo que hasta el día de hoy, aún no ha entendido lo que realmente significaba la respuesta, y aún tiene preguntas como:
  • ¿Por qué IBM se negó a aceptar un informe de vulnerabilidad detallado?
  • ¿Qué significa su respuesta? ¿Son los únicos que aceptan informes de vulnerabilidad de los clientes?
  • ¿O el producto no tiene soporte? Si es así, ¿por qué todavía se ofrece a la venta a nuevos clientes?
  • ¿Cómo pueden ser tan irreponibles al vender un producto de seguridad empresarial?"
"Esta es una respuesta increíble de IBM, una compañía multimillonaria que vende productos empresariales de seguridad y consultoría de seguridad a grandes corporaciones en todo el mundo", dijo Ribeiro.

Detalles publicados hoy en GitHub

Al ver que IBM no estaba interesado en reparar los errores, el investigador ha publicado los detalles en GitHub sobre los cuatro problemas, para que las empresas que usan el producto puedan implementar mitigaciones para evitar ataques.

Los cuatro problemas, como se informó, son:
  • Una derivación del mecanismo de autenticación IDRM
  • Un punto de inyección de comandos en una de las API IDRM que permite a los ataques ejecutar sus propios comandos en la aplicación
  • Una combinación de nombre de usuario y contraseña codificados de a3user/idrm
  • Una vulnerabilidad en la API IDRM que puede permitir que los hackers remotos descarguen archivos del dispositivo IDRM
"Este aviso describe las cuatro vulnerabilidades y los pasos necesarios para encadenar las tres primeras para lograr la ejecución remota de código no autenticada como root. Además, dos módulos Metasploit que omiten la autenticación y explotan la ejecución remota de código y la descarga arbitraria de archivos se están lanzando al público", dijo Ribeiro.

Los cuatro errores son explotables de forma remota, agregó Ribeiro. Si el dispositivo IDRM se expone en línea, se pueden realizar ataques a través de Internet. Normalmente, estos sistemas no son accesibles en Internet, lo que reduce el impacto para las organizaciones que ejecutan IDRM.

Sin embargo, incluso si el IDRM no está expuesto en línea, un atacante que tiene acceso a una estación de trabajo en la red interna de una empresa puede encadenar los cuatro errores para hacerse cargo del dispositivo IDRM, extraer credenciales para otros sistemas y moverse lateralmente a otros sistemas en La red de la empresa.

En un correo electrónico enviado hoy a ZDNet, IBM parece arrepentirse de cómo se desarrolló el incidente y de que actualmente se está trabajando en un parche.

Fuente: ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!