Un investigador de seguridad cibernética reveló hoy públicamente detalles técnicos y PoC para 4 vulnerabilidades de día cero sin parchear que afectan un software de seguridad empresarial ofrecido por IBM después de que la compañía se negara a reconocer la divulgación presentada de manera responsable.
El producto premium afectado en cuestión es Administrador de riesgos de datos de IBM (IDRM) que ha sido diseñado para analizar los activos de información comercial confidencial de una organización y determinar los riesgos asociados.
Según Pedro Ribeiro de la firma Agile Information Security, IBM Data Risk Manager contiene tres vulnerabilidades de gravedad crítica y un error de alto impacto, todas enumeradas a continuación, que pueden ser aprovechadas por un atacante no autenticado accesible a través de la red, y cuando se encadenan juntas también podrían conducir a ejecución remota de código como root.
- Omisión de autenticación
- Inyección de comandos
- Contraseña predeterminada insegura
- Descarga de archivos arbitrarios
Ribeiro probó con éxito las fallas contra IBM Data Risk Manager versión 2.0.1 a 2.0.3, que no es la última versión del software, pero cree que también funcionan desde la 2.0.4 hasta la última versión 2.0.6 porque «no se menciona de vulnerabilidades corregidas en cualquier registro de cambios».
«IDRM es un producto de seguridad empresarial que maneja información muy confidencial. El compromiso de un producto de este tipo podría llevar a un compromiso a gran escala de la empresa, ya que la herramienta tiene credenciales para acceder a otras herramientas de seguridad, sin mencionar que contiene información sobre vulnerabilidades críticas que afectar a la empresa», dijo Ribeiro.
Vulnerabilidades críticas de día cero en IBM Data Risk Manager
En resumen, la falla de omisión de autenticación explota un error lógico en la función de ID de sesión para restablecer la contraseña de cualquier cuenta existente, incluido el administrador.
La falla de inyección de comandos reside en la forma en que el software de seguridad empresarial de IBM permite a los usuarios realizar escaneos de red utilizando scripts Nmap, que aparentemente pueden estar equipados con comandos maliciosos cuando los proporcionan los atacantes.
De acuerdo con la divulgación de la vulnerabilidad, para SSH y ejecutar comandos sudo, el dispositivo virtual IDRM también tiene un usuario administrativo integrado con nombre de usuario «a3user» y contraseña predeterminada «idrm», que si no se modifica, podría permitir que los atacantes remotos tomen el control total los sistemas objetivo.
La última vulnerabilidad reside en un extremo de la API que permite a los usuarios autenticados descargar archivos de registro del sistema. Sin embargo, según el investigador, uno de los parámetros de este punto final sufre una falla de cruce de directorios que podría permitir que los usuarios maliciosos descarguen cualquier archivo del sistema.
Además de los detalles técnicos, el investigador también ha lanzado dos módulos Metasploit para eludir la autenticación, la ejecución remota de código y los problemas de descarga de archivos arbitrarios.
Ribeiro afirma haber informado este problema a IBM a través de CERT/CC y, en respuesta, la empresa se negó a aceptar el informe de vulnerabilidad y dijo: «Evaluamos este informe y lo cerramos como fuera del alcance de nuestro programa de divulgación de vulnerabilidades, ya que este producto es solo para soporte «mejorado» pagado por nuestros clientes».
En respuesta, Ribeiro dijo: «En cualquier caso, no pedí ni esperaba una recompensa ya que no tengo una cuenta de HackerOne y no estoy de acuerdo con los términos de divulgación de HackerOne o IBM allí. Simplemente quería divulgar esto a IBM de manera responsable y dejar que ellos lo arreglan».
Hacker News se comunicó con IBM y actualizaremos el artículo a medida que haya más información disponible.
Actualizar:
Un portavoz de IBM le dijo a The Hacker News que «un error de proceso resultó en una respuesta incorrecta al investigador que informó esta situación a IBM. Hemos estado trabajando en los pasos de mitigación y se discutirán en un aviso de seguridad que se emitirá».