יבמ, המעבדה הלאומית Oak Ridge
על פי הדיווחים, פגמי אבטחה רבים במנהל סיכוני הנתונים של IBM (IDRM), אחד מכלי האבטחה הארגוניים של יבמ, נחשפו על ידי חוקר אבטחה של צד שלישי. אגב, פרצות האבטחה של אפס יום טרם הודו רשמית, שלא לדבר על תיקון בהצלחה על ידי יבמ.
חוקרים שגילו לפחות ארבע פרצות אבטחה, עם יכולות פוטנציאליות של ביצוע קוד מרחוק (RCE), על פי הדיווחים זמינים בטבע. החוקר טוען שניסה לפנות ל- IBM ולשתף את פרטי פגמי האבטחה במכשיר הווירטואלי האבטחתי של IBM Data Manager, אך יבמ סירבה להכיר בהם וכתוצאה מכך, ככל הנראה הותירה אותם ללא תיקון.
יבמ מסרבת לקבל דוח על פגיעות אבטחה ביום אפס?
מנהל סיכוני הנתונים של IBM הוא מוצר ארגוני המספק גילוי וסיווג נתונים. הפלטפורמה כוללת ניתוח מפורט אודות הסיכון העסקי המתבסס על נכסי המידע בארגון. מיותר להוסיף, לפלטפורמה יש גישה למידע קריטי ורגיש אודות העסקים המשתמשים בו. אם נפגעת, ניתן להפוך את כל הפלטפורמה לעבד שיכול להציע להאקרים גישה נוחה לתוכנות ולמאגרי מידע נוספים.
חוקר אבטחה חושף ארבעה ימי אפס # פגיעויות המשפיעים על מנהל סיכוני הנתונים של IBM (IDRM), אחד מ- IBM # חברות אבטחה כלים. #אבטחת סייבר https://t.co/jvdcufgQqi https://t.co/2cKjfrCOoz
- דייוויד דה סוזה (@ DavidDeSDrumond) 21 באפריל 2020
פדרו ריביירו מאבטחת מידע זריזה בבריטניה חקר את גרסת 2.0.3 של IBM Data Risk Manager וגילתה על פי הדיווחים בסך הכל ארבע נקודות תורפה. לאחר אישור הפגמים, ניסה ריביירו לחשוף בפני יבמ באמצעות CERT / CC באוניברסיטת קרנגי מלון. אגב, IBM מפעילה את פלטפורמת HackerOne, שהיא למעשה ערוץ רשמי לדווח על חולשות אבטחה כאלה. עם זאת, ריביירו אינו משתמש ב- HackerOne וככל הנראה לא רצה להצטרף, אז הוא ניסה לעבור על CERT / CC. באופן מוזר, יבמ סירבה להכיר בפגמים בהודעה הבאה:
' הערכנו דוח זה וסגרנו שהוא מחוץ לתחום לתוכנית גילוי הפגיעות שלנו מכיוון שמוצר זה מיועד רק לתמיכה 'משופרת' שמשלמים לקוחותינו. . זה מתואר במדיניות שלנו https://hackerone.com/ibm . כדי להיות זכאי להשתתף בתוכנית זו, אינך חייב להיות תחת חוזה לביצוע בדיקות אבטחה עבור תאגיד יבמ, או חברת בת של יבמ, או לקוח יבמ בתוך 6 חודשים לפני הגשת הדוח. '
לאחר שלפי הדיווחים דוח הפגיעות החופשית נדחה, חוקר פרסם פרטים ב- GitHub על ארבעת הנושאים . החוקר מבטיח כי הסיבה לפרסום הדו'ח הייתה לייצר חברות המשתמשות ב- IBM IDRM מודע לפגמי הביטחון ולאפשר להם לשים מקלות למניעת התקפות כלשהן.
מהן פגיעות האבטחה בת 0 הימים ב- IBM IDRM?
מתוך הארבעה, שלוש מלקויות האבטחה יכולות לשמש יחד כדי לקבל הרשאות שורש למוצר. הפגמים כוללים מעקף אימות, פגם בהזרקת פקודה וסיסמת ברירת מחדל לא בטוחה.
מעקף האימות מאפשר לתוקף להשתמש לרעה בבעיה עם API כדי לגרום למכשיר ה- Data Risk Manager לקבל מזהה הפעלה שרירותי ושם משתמש ואז לשלוח פקודה נפרדת ליצירת סיסמה חדשה לשם משתמש זה. ניצול מוצלח של המתקפה מעניק למעשה גישה למסוף ניהול האינטרנט. המשמעות היא שאימות הפלטפורמה או מערכות הגישה המורשות עוקפות לחלוטין ולתוקף יש גישה מנהלתית מלאה ל- IDRM.
https://twitter.com/sudoWright/status/1252641787216375818
עם גישת מנהל, תוקף יכול להשתמש בפגיעות של הזרקת פקודה כדי להעלות קובץ שרירותי. כאשר הפגם השלישי משולב עם שתי הפגיעות הראשונות, הוא מאפשר לתוקף מרחוק לא מאושר להשיג ביצוע קוד מרחוק (RCE) כשורש במכשיר הווירטואלי IDRM, מה שמוביל לפשרה מוחלטת במערכת. סיכום ארבע הפגיעויות האפסיות באבטחה ב- IBM IDRM:
- עקיפה של מנגנון האימות IDRM
- נקודת הזרקת פקודה באחד מממשקי ה- API של IDRM המאפשרת להתקפות להריץ פקודות משלהם באפליקציה
- משולב של שם משתמש וסיסמא עם קוד a3user / idrm
- פגיעות ב- IDRM API שיכולה לאפשר להאקרים מרוחקים להוריד קבצים ממכשיר IDRM
אם זה לא מזיק מספיק, החוקר הבטיח לחשוף פרטים על שני מודולי Metasploit העוקפים את האימות ומנצלים את ביצוע קוד מרחוק ו הורדת קבצים שרירותית - פגמים.
חשוב לציין שלמרות נוכחותן של נקודות התורפה באבטחה בתוך IBM IDRM, הסיכוי לכך בהצלחה לנצל אותו הם די קלושים . זה בעיקר בגלל שחברות שמפרסמות את IBM IDRM במערכות שלהם בדרך כלל מונעות גישה דרך האינטרנט. עם זאת, אם מכשיר ה- IDRM נחשף באופן מקוון, ניתן לבצע התקפות מרחוק. יתר על כן, תוקף שיש לו גישה לתחנת עבודה ברשת הפנימית של החברה יכול להשתלט על מכשיר ה- IDRM. לאחר שנפגע בהצלחה, התוקף יכול לחלץ אישורים בקלות עבור מערכות אחרות. אלה עשויים לתת לתוקף את היכולת לעבור לרוחב למערכות אחרות ברשת החברה.
תגים יבמ
![[FIX] שגיאת iTunes -42110 בעת רכישה או הורדת מדיה](https://jf-balio.pt/img/how-tos/03/itunes-error-42110-when-purchasing.png)
