Главный исследователь Agile Information Security и известный багхантер, регулярно участвующий в таких хакерских состязаниях, как Pwn2Own, Педро Рибейро опубликовал на GitHub детали четырех уязвимостей нулевого дня, касающихся корпоративного инструмента безопасности IBM Data Risk Manager (IDRM).

Сама компания IBM описывает этот продукт, как «центр управления рисками утечки данных, который позволяет руководителям и любым другим сотрудникам без специальной подготовки выявить, проанализировать и визуализировать риски утечки данных, а также предпринять необходимые действия для защиты бизнеса».

Рибейро подчеркивает, что IDRM — это корпоративный инструмент, который имеет дело с крайне конфиденциальной информацией. То есть компрометация такого продукта может привести к полной компрометации всей компании, поскольку у IDRM есть учетные данные для доступа к другим инструментам безопасности, не говоря о том, что IDRM содержит информацию о критических уязвимостях.

Рибейро пишет, что обнаружил четыре ошибки в IDRM и активно сотрудничал со специалистами  CERT/CC, стремясь донести информацию о багах до инженеров IBM через официальную программу раскрытия уязвимостей. Однако, невзирая на всю серьезность обнаруженных ошибок, IBM отказалась принимать отчет специалиста, прислав странный ответ:

Рибейро признается, что до сих пор не понял, что означает этот ответ. Исследователь задается множеством вопросов: почему IBM отказалась принять его бесплатный отчет об уязвимостях, составленный по всем правилам? Означает ли это, что в данном случае компания принимает отчеты только от своих клиентов? Или, быть может, этот продукт не поддерживается? Но в таком случае, почему его все еще продают новым клиентам, и почему компания ведет себя столь безответственно?

Так и не добившись ответа и реакции от IBM, исследователь опубликовал информацию о проблемах в открытом доступе, чтобы компании, использующие IDRM, могли принять меры для предотвращения атак. Все найденные экспертом уязвимости могут использоваться удаленно и заключаются в следующем:

• обход механизма аутентификации IDRM;


• возможность инъекций команд в одном из API IDRM, что позволяет атакующим запускать собственные команды в приложении;


• жестко закодированные учетные данные: a3user/idrm;


• уязвимость в API IDRM, которая позволяет удаленным злоумышленникам скачивать любые файлы.

Помимо детального описания проблем были опубликованы и два модуля Metasploit, которые эксплуатируют обход аутентификации и обеспечивают удаленное выполнение кода, а также загрузку произвольных файлов.

Лишь после того как информация о четырех 0-day вчера попала на страницы СМИ, представители IBM наконец обратили внимание на Рибейро и найденные им проблемы. В компании сообщили, что произошла ошибка: исследователь не должен был получить столь странный ответ, а обнаруженные им уязвимости не должны были остаться без внимания.

Теперь компания сообщает, что уязвимость, связанная с инъекциями команд, угрожавшая IBM Data Risk Manager версий 2.0.1, 2.0.2 и 2.0.3, была устранена в версии 2.0.4. Также эта версия решила проблему загрузки произвольных файлов, представлявшую угрозу для версий 2.0.2 и 2.0.3.

Жестко закодированные учетные данные, активные «из коробки», по-прежнему присутствуют в IDRM, но компания напоминает, что их нужно сбросить и сменить при первой установке, согласно руководству.

Также сообщается, что инженеры компании изучают проблему, связанную с обходом аутентификации в IDRM. Специалисты обещают выпустить патчи и обновить рекомендации по снижению рисков в самом скором времени.

Рибейро прокомментировал запоздалую реакцию компании журналистам издания The Register:

Последний упрек эксперта связан с тем, что программа вознаграждения за уязвимости IBM не подразумевает никаких денежных вознаграждений, лишь почет и благодарность.

Теги: CSS