4 Zero-Day-Lücken im IBM Data Risk Manager publiziert

21. April 2020, 15:34
  • security
  • lücke
  • ibm
  • insideit
image

Ein Forscher führt vor, wie man die Authentifizierung als Admin umgeht und remote Code im Risikomanagement-Tool ausführen kann. IBM hält ihn für unqualifiziert.

Ein Security-Forscher hat technische Details und PoC für vier ungepatchte Zero-Day-Schwachstellen publiziert, die er in IBM Data Risk Manager (IDRM) gefunden hat. Er bezeichnet drei Lücken als "kritische Risiken" und die vierte als "hohes Risiko".
Die Publikation erfolgte auf Github und mit einem Tweet.
Die Offenlegung ist aus zwei Gründen bemerkenswert: IDMR ist erstens ein Premiumprodukt, um sensible Geschäftsinformationen eines Unternehmens zu analysieren und die damit verbundenen Risiken zu ermitteln. "IDRM ist ein Sicherheitsprodukt für Unternehmen, das mit sehr sensiblen Informationen umgeht. Eine Kompromittierung eines solchen Produkts könnte zu einer umfassenden Gefährdung des Unternehmens führen, da das Tool Berechtigungen für den Zugriff auf andere Sicherheitstools besitzt, ganz zu schweigen davon, dass es Informationen über kritische Schwachstellen enthält, die das Unternehmen betreffen", schreibt der Security-Forscher namens Pedro Ribeiro selbst dazu.
Zum zweiten unternahm Ribeiro den nicht alltäglichen Schritt, weil sich IBM geweigert habe, die nach "Responsible Disclosure"-Gepflogenheiten eingereichten Schwachstellen anzuerkennen. Ribeiro behauptet, die entdeckten Schwachstellen über das CERT Coordination Center (CERT/CC) an IBM gemeldet zu haben, und als Reaktion darauf habe sich das Unternehmen geweigert, Ribeiros Bericht zu akzeptieren. Der Konzern habe geantwortet: "Wir haben diesen Bericht bewertet und entschieden, dass er für unser Programm zur Offenlegung von Schwachstellen nicht in Frage kommt, da dieses Produkt nur für 'erweiterten' Support gedacht ist, der von unseren Kunden bezahlt wird." Das IBM-Programm ist offenbar nur für registrierte Security-Forscher und unter gewissen Bedingungen offen. "Dies ist eine unglaubliche Antwort", so der empörte Ribeiro, der für die britische Security-Firma Agile Information Security arbeitet.
Laut ihm können Schwachstellen von einem nicht authentifizierten Angreifer ausgenutzt werden, der über das Netzwerk erreichbar ist. Sie könnten, wenn sie miteinander verkettet werden, zur Remote-Ausführung von Code mit Root-Rechten führen. Konkret geht es um die Umgehung der Authentifizierung, Command-Injection, ein unsicheres Standardpasswort sowie beliebiges Herunterladen von Dateien.
Mit dem unsicheren Passwort meint Ribeiro Hard-coded Credentials, die er in der Publikation auch nennt.
CVE-Identifikatoren sind keine vorhanden, PoC und Details finden sich auf Github.
Der bekannte Security-Forscher Kevin Beaumont twitterte kommentarlos: "IBM sollte dies fixen."
IBM hat bis anhin nicht auf Medienanfragen wie derjenigen von 'The Hacker News' reagiert.

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023