El investigador de seguridad revela cuatro días cero de IBM luego de que la compañía se negara


ibm-data-risk-manager.png

Imagen: IBM

Un investigador de seguridad ha publicado hoy detalles sobre cuatro vulnerabilidades de día cero que afectan a un producto de seguridad de IBM después de que la compañía se negó a corregir errores después de un intento de revelación de errores privados.

Los errores impactan el IBM Details Possibility Supervisor (IDRM), una herramienta de seguridad empresarial que agrega feeds de herramientas de escaneo de vulnerabilidades y otras herramientas de gestión de riesgos para permitir a los administradores investigar problemas de seguridad.

«IDRM es un producto de seguridad empresarial que maneja información muy practical», dijo Pedro Ribeiro, Director de Investigación de Agile Information Security, y el que descubrió los cuatro errores.

«Un compromiso de tal (a) producto podría llevar a un compromiso de la compañía a gran escala, ya que la herramienta tiene credenciales para acceder a otras herramientas de seguridad, sin mencionar que contiene información sobre vulnerabilidades críticas que afectan a la compañía», agregó.

IBM se negó a parchear los problemas reportados

Ribeiro dijo que encontró cuatro errores en IDRM y trabajó con el equipo CERT / CC informar los problemas a IBM a través de su programa oficial de recompensas de errores.

El investigador de seguridad dijo que a pesar de la gravedad de los cuatro errores que informó, IBM se negó a aceptar la divulgación de errores respondiendo con lo que parece ser una respuesta no sensorial:

evaluamos este informe y cerramos por estar fuera del alcance de nuestro programa de divulgación de vulnerabilidades ya que este producto es solo para soporte «mejorado» pagado por nuestros clientes. Esto se describe en nuestra política. https://hackerone.com/ibm. Para ser elegible para participar en este programa, no debe estar bajo contrato para realizar pruebas de seguridad para IBM Company, o una subsidiaria de IBM, o un cliente de IBM dentro de los 6 meses anteriores a la presentación de un informe.

El investigador dijo que hasta el día de hoy, aún no ha entendido lo que realmente significaba la respuesta, y aún tiene preguntas como:

  • «¿Por qué IBM se negó a aceptar un Gratis informe detallado de vulnerabilidad?
  • «¿Qué significa su respuesta? ¿Son los únicos que aceptan informes de vulnerabilidad de los clientes?
  • «¿O el producto no tiene soporte? Si es así, ¿por qué todavía se ofrece a la venta a nuevos clientes?
  • «¿Cómo pueden ser tan irreponibles al vender un producto de seguridad empresarial?»

«Esta es una respuesta increíble de IBM, una compañía multimillonaria que vende productos empresariales de seguridad y consultoría de seguridad a grandes corporaciones en todo el mundo», dijo Ribeiro.

ZDNet se ha comunicado con IBM para aclarar su respuesta y ver si esto fue solo un malentendido, en lugar de una decisión intencional de dejar que IDRM no sea parcheado, a pesar de la gravedad de los cuatro problemas. Actualizaremos este artículo si recibimos noticias de la empresa.

Detalles publicados hoy en GitHub

Al ver que IBM no estaba interesado en reparar los errores, el investigador ha publicado hoy detalles en GitHub acerca de los cuatro problemas, para que las empresas que usan el producto puedan implementar mitigaciones para evitar ataques.

Los cuatro problemas, como se informó, son:

  • Una derivación del mecanismo de autenticación IDRM
  • Un punto de inyección de comandos en una de las API IDRM que permite a los ataques ejecutar sus propios comandos en la aplicación
  • Una combinación de nombre de usuario y contraseña codificados de a3person / idrm
  • Una vulnerabilidad en la API IDRM que puede permitir que los hackers remotos descarguen archivos del dispositivo IDRM

«Este aviso describe las cuatro vulnerabilidades y los pasos necesarios para encadenar las tres primeras para lograr la ejecución remota de código no autenticada como root», dijo Ribeiro.

«Además, dos módulos Metasploit que omiten la autenticación y explotan el ejecución remota de código y descarga arbitraria de archivos están siendo liberados al público «.

Los cuatro errores son explotables de forma remota, agregó Ribeiro. Si el dispositivo IDRM se expone en línea, se pueden realizar ataques a través de World-wide-web. Si el IDRM no está expuesto en línea, un atacante que tiene acceso a una estación de trabajo en la crimson interna de una empresa puede encadenar los cuatro errores para hacerse cargo del dispositivo IDRM, extraer credenciales para otros sistemas y moverse lateralmente a otros sistemas en la pink de la empresa .



Enlace a la noticia initial