Data Risk Manager에 영향을 미치는 IBM Zero-Day RCE 보안 취약성이 공개 된 후에도 패치되지 않은 상태로 남아 있습니까?

보안 / Data Risk Manager에 영향을 미치는 IBM Zero-Day RCE 보안 취약성이 공개 된 후에도 패치되지 않은 상태로 남아 있습니까? 3 분 읽기

IBM, Oak Ridge 국립 연구소

IBM의 엔터프라이즈 보안 도구 중 하나 인 IBM Data Risk Manager (IDRM)의 여러 보안 결함이 타사 보안 연구원에 의해 밝혀 졌다고합니다. 덧붙여서 제로 데이 보안 취약점은 IBM이 성공적으로 패치 한 것은 말할 것도없고 아직 공식적으로 인정되지 않았습니다.

잠재적 인 RCE (Remote Code Execution) 기능과 함께 최소 4 개의 보안 취약점을 발견 한 연구원이 야생에서 사용 가능한 것으로 알려졌습니다. 연구원은 그가 IBM에 접근하고 IBM의 Data Risk Manager 보안 가상 어플라이언스 내부의 보안 결함에 대한 세부 정보를 공유하려고 시도했지만 IBM은이를 인정하지 않았으며 결과적으로 패치를 적용하지 않은 것으로 보입니다.



IBM이 제로 데이 보안 취약성 보고서 수락을 거부합니까?

IBM Data Risk Manager는 데이터 검색 및 분류를 제공하는 엔터프라이즈 제품입니다. 플랫폼에는 조직 내부의 정보 자산을 기반으로하는 비즈니스 위험에 대한 자세한 분석이 포함됩니다. 추가 할 필요없이, 플랫폼은이를 사용하는 비즈니스에 대한 중요하고 민감한 정보에 액세스 할 수 있습니다. 손상 될 경우 전체 플랫폼은 해커가 더 많은 소프트웨어와 데이터베이스에 쉽게 액세스 할 수있는 노예가 될 수 있습니다.



영국 Agile Information Security의 Pedro Ribeiro는 IBM Data Risk Manager 2.0.3 버전을 조사한 결과 총 4 개의 취약점을 발견 한 것으로 알려졌습니다. 결함을 확인한 후 Ribeiro는 Carnegie Mellon University의 CERT / CC를 통해 IBM에 공개를 시도했습니다. 덧붙여서, IBM은 근본적으로 이러한 보안 취약점을보고하는 공식 채널 인 HackerOne 플랫폼을 운영하고 있습니다. 그러나 Ribeiro는 HackerOne 사용자가 아니며 분명히 가입하기를 원하지 않았기 때문에 CERT / CC를 시도했습니다. 이상하게도 IBM은 다음 메시지와 함께 결함을 인정하지 않았습니다.

' 이 제품은 고객이 지불하는 '향상된'지원만을위한 것이므로이 보고서를 평가하고 취약점 공개 프로그램의 범위를 벗어난 것으로 마감했습니다. . 이것은 우리의 정책에 설명되어 있습니다. https://hackerone.com/ibm . 이 프로그램에 참여하려면 보고서를 제출하기 전 6 개월 이내에 IBM Corporation, IBM 자회사 또는 IBM 고객에 대한 보안 테스트를 수행하는 계약을 체결하지 않아야합니다. '



무료 취약성 보고서가 거부 된 것으로보고 된 후 연구원이 GitHub에 네 가지 문제에 대한 세부 정보를 게시했습니다. . 연구원은 보고서를 게시 한 이유가 IBM IDRM을 사용하는 회사를 만들기위한 것이라고 확신합니다. 보안 결함 인식 공격을 방지하기 위해 완화 조치를 취할 수 있습니다.

IBM IDRM의 0 일 보안 취약점은 무엇입니까?

4 개 중 3 개 보안 결함을 함께 사용하여 제품에 대한 루트 권한을 얻을 수 있습니다. 결함에는 인증 우회, 명령 주입 결함 및 안전하지 않은 기본 암호가 포함됩니다.

인증 우회를 통해 공격자는 API 문제를 악용하여 Data Risk Manager 어플라이언스가 임의의 세션 ID와 사용자 이름을 수락 한 다음 별도의 명령을 보내 해당 사용자 이름에 대한 새 암호를 생성 할 수 있습니다. 공격을 성공적으로 악용하면 기본적으로 웹 관리 콘솔에 액세스 할 수 있습니다. 이는 플랫폼의 인증 또는 승인 된 액세스 시스템이 완전히 우회되고 공격자가 IDRM에 대한 전체 관리 액세스 권한을 가짐을 의미합니다.

https://twitter.com/sudoWright/status/1252641787216375818

관리자 액세스 권한이있는 공격자는 명령 삽입 취약점을 사용하여 임의의 파일을 업로드 할 수 있습니다. 세 번째 결함이 처음 두 가지 취약점과 결합되면 인증되지 않은 원격 공격자가 IDRM 가상 어플라이언스의 루트로 RCE (Remote Code Execution)를 달성하여 완전한 시스템 손상으로 이어질 수 있습니다. IBM IDRM의 네 가지 제로 데이 보안 취약점 요약 :

  • IDRM 인증 메커니즘 우회
  • 공격이 앱에서 자체 명령을 실행할 수 있도록하는 IDRM API 중 하나의 명령 삽입 지점
  • 하드 코딩 된 사용자 이름 및 암호 조합 a3user / idrm
  • 원격 해커가 IDRM 어플라이언스에서 파일을 다운로드 할 수있는 IDRM API의 취약성

그것이 충분히 손상되지 않는다면 연구원은 인증을 우회하고이를 악용하는 두 개의 Metasploit 모듈에 대한 세부 정보를 공개하겠다고 약속했습니다. 원격 코드 실행 과 임의 파일 다운로드 결점.

IBM IDRM 내부에 보안 취약성이 존재 함에도 불구하고 같은 것을 성공적으로 악용하는 것은 다소 희박합니다. . 이는 주로 시스템에 IBM IDRM을 배치하는 회사가 일반적으로 인터넷을 통한 액세스를 차단하기 때문입니다. 그러나 IDRM 어플라이언스가 온라인에 노출되면 원격으로 공격을 수행 할 수 있습니다. 또한 회사 내부 네트워크의 워크 스테이션에 액세스 할 수있는 공격자가 잠재적으로 IDRM 어플라이언스를 장악 할 수 있습니다. 성공적으로 손상되면 공격자는 다른 시스템에 대한 자격 증명을 쉽게 추출 할 수 있습니다. 이로 인해 침입자는 회사 네트워크의 다른 시스템으로 측면으로 이동할 수 있습니다.

태그 IBM