لا تزال ثغرات أمان IBM Zero-Day RCE التي تؤثر على مدير مخاطر البيانات غير مسبوقة حتى بعد الإصدار العام؟

آي بي إم ، مختبر أوك ريدج الوطني

تم الكشف عن ثغرات أمنية متعددة داخل IBM Data Risk Manager (IDRM) ، وهي إحدى أدوات أمان المؤسسة لشركة IBM ، من قبل باحث أمان تابع لجهة خارجية. بالمناسبة ، لم يتم الاعتراف رسميًا بالثغرات الأمنية في Zero-Day ، ناهيك عن تصحيحها بنجاح بواسطة IBM.

يقال إن الباحث الذي اكتشف ما لا يقل عن أربع ثغرات أمنية ، مع إمكانات تنفيذ التعليمات البرمجية عن بُعد (RCE) ، متاح في البرية. يدعي الباحث أنه حاول الاقتراب من شركة IBM ومشاركة تفاصيل الثغرات الأمنية داخل الجهاز الافتراضي لأمن إدارة مخاطر البيانات من شركة IBM ، لكن شركة IBM رفضت الاعتراف بها ، وبالتالي تركتها على ما يبدو دون تصحيح.

آي بي إم ترفض قبول تقرير ثغرات أمنية ليوم الصفر؟

IBM Data Risk Manager هو منتج مؤسسي يوفر اكتشاف البيانات وتصنيفها. يتضمن النظام الأساسي تحليلات مفصلة حول مخاطر الأعمال التي تستند إلى أصول المعلومات داخل المنظمة. لا داعي للإضافة ، فإن النظام الأساسي لديه إمكانية الوصول إلى المعلومات الهامة والحساسة حول الشركات التي تستخدم نفس الشيء. إذا تم اختراق النظام الأساسي بأكمله ، فيمكن تحويله إلى عبيد يمكن أن يوفر للمتسللين وصولاً سهلاً إلى المزيد من البرامج وقواعد البيانات.

باحث أمني يكشف عن أربعة أيام صفر #نقاط الضعف التي تؤثر على IBM Data Risk Manager (IDRM) ، أحد برامج IBM #enterprisesecurity أدوات. #الأمن الإلكتروني https://t.co/jvdcufgQqi https://t.co/2cKjfrCOoz

- ديفيد دي سوزا (DavidDeSDrumond) 21 أبريل 2020

قام Pedro Ribeiro من Agile Information Security في المملكة المتحدة بالتحقيق في الإصدار 2.0.3 من IBM Data Risk Manager ، وبحسب ما ورد اكتشف ما مجموعه أربع نقاط ضعف. بعد تأكيد العيوب ، حاول ريبيرو الإفصاح عن المعلومات لشركة IBM من خلال CERT / CC في جامعة كارنيجي ميلون. بالمناسبة ، تدير شركة IBM منصة HackerOne ، والتي تعد في الأساس قناة رسمية للإبلاغ عن نقاط الضعف الأمنية هذه. ومع ذلك ، فإن Ribeiro ليس من مستخدمي HackerOne ويبدو أنه لا يريد الانضمام ، لذلك حاول المرور عبر CERT / CC. الغريب أن شركة IBM رفضت الاعتراف بالعيوب بالرسالة التالية:

' لقد قمنا بتقييم هذا التقرير وإغلاقه باعتباره خارج نطاق برنامج الكشف عن الثغرات الأمنية نظرًا لأن هذا المنتج مخصص فقط للدعم 'المعزز' الذي يدفعه عملاؤنا . هذا موضح في سياستنا https://hackerone.com/ibm . لكي تكون مؤهلاً للمشاركة في هذا البرنامج ، يجب ألا تكون متعاقدًا لإجراء اختبار الأمان لشركة IBM Corporation ، أو شركة تابعة لشركة IBM ، أو عميل IBM في غضون 6 أشهر قبل إرسال التقرير. '

بعد أن تم رفض تقرير الثغرات الحرة ، تم رفض نشر الباحث تفاصيل على GitHub حول القضايا الأربعة . يؤكد الباحث أن سبب نشر التقرير هو جعل الشركات التي تستخدم IBM IDRM على دراية بالعيوب الأمنية والسماح لهم بوضع وسائل التخفيف لمنع أي هجمات.

ما هي ثغرات الأمن لمدة 0 يوم في IBM IDRM؟

من بين الأربعة ، يمكن استخدام ثلاثة من عيوب الأمان معًا للحصول على امتيازات الجذر على المنتج. تشمل العيوب تجاوز المصادقة وخطأ في إدخال الأوامر وكلمة مرور افتراضية غير آمنة.

يسمح تجاوز المصادقة للمهاجم بإساءة استخدام مشكلة في واجهة برمجة التطبيقات للحصول على جهاز Data Risk Manager لقبول معرف جلسة عشوائي واسم مستخدم ثم إرسال أمر منفصل لإنشاء كلمة مرور جديدة لاسم المستخدم هذا. يؤدي الاستغلال الناجح للهجوم بشكل أساسي إلى الوصول إلى وحدة تحكم إدارة الويب. هذا يعني أن مصادقة النظام الأساسي أو أنظمة الوصول المصرح بها يتم تجاوزها تمامًا وأن المهاجم لديه وصول إداري كامل إلى IDRM.

https://twitter.com/sudoWright/status/1252641787216375818

مع وصول المسؤول ، يمكن للمهاجم استخدام ثغرة إدخال الأوامر لتحميل ملف عشوائي. عندما يتم دمج العيب الثالث مع أول ثغرتين ، فإنه يسمح لمهاجم بعيد غير مصادق بتحقيق تنفيذ التعليمات البرمجية عن بُعد (RCE) كجذر على جهاز IDRM الظاهري ، مما يؤدي إلى اختراق النظام بالكامل. تلخيص ثغرات أمان Zero-Day الأربعة في IBM IDRM:

• تجاوز آلية مصادقة IDRM
• نقطة إدخال أوامر في إحدى واجهات برمجة تطبيقات IDRM تتيح للهجمات تشغيل أوامرها الخاصة على التطبيق
• مجموعة اسم مستخدم وكلمة مرور مشفرة بشكل ثابت من a3user/idrm
• ثغرة أمنية في IDRM API يمكن أن تسمح للمتسللين عن بُعد بتنزيل الملفات من جهاز IDRM

إذا لم يكن ذلك ضارًا بدرجة كافية ، فقد وعد الباحث بالكشف عن تفاصيل حول وحدتين من وحدات Metasploit تتجاوز المصادقة وتستغل تنفيذ التعليمات البرمجية عن بعد و تحميل ملف تعسفي عيوب.

من المهم ملاحظة أنه على الرغم من وجود ثغرات أمنية داخل IBM IDRM ، فإن فرص استغلال نفس الشيء بنجاح ضئيلة نوعًا ما . هذا في المقام الأول لأن الشركات التي تنشر IBM IDRM على أنظمتها عادة ما تمنع الوصول عبر الإنترنت. ومع ذلك ، إذا تم الكشف عن جهاز IDRM عبر الإنترنت ، فيمكن تنفيذ الهجمات عن بُعد. علاوة على ذلك ، يمكن للمهاجم الذي لديه إمكانية الوصول إلى محطة عمل على الشبكة الداخلية للشركة أن يستولي على جهاز IDRM. بمجرد الاختراق بنجاح ، يمكن للمهاجم بسهولة استخراج بيانات الاعتماد للأنظمة الأخرى. من المحتمل أن تمنح هذه المهاجم القدرة على الانتقال أفقيًا إلى أنظمة أخرى على شبكة الشركة.