Los expertos informaron un error de seguridad en el software de gestión de datos Db2 de IBM

software de gestión de datos de ibm

Investigadores de seguridad cibernética revelaron hoy detalles de una vulnerabilidad de memoria en la familia de productos de gestión de datos Db2 de IBM que podría permitir que un atacante local acceda a datos confidenciales e incluso provocar ataques de denegación de servicio.

La falla (CVE-2020-4414), que afecta las ediciones IBM Db2 V9.7, V10.1, V10.5, V11.1 y V11.5 en todas las plataformas, es causada por el uso inadecuado de la memoria compartida, lo que otorga una mal actor para realizar acciones no autorizadas en el sistema.

Al enviar una solicitud especialmente diseñada, un atacante podría aprovechar esta vulnerabilidad para obtener información confidencial o provocar una denegación de servicio, según el equipo de seguridad e investigación de Trustwave SpiderLabs, que descubrió el problema.

«Los desarrolladores se olvidaron de poner protecciones de memoria explícitas en torno a la memoria compartida utilizada por la instalación de seguimiento de Db2», dijo Martin Rakhmanov de SpiderLabs. «Esto permite que cualquier usuario local tenga acceso de lectura y escritura a esa área de memoria. A su vez, esto permite acceder a datos críticamente confidenciales, así como la capacidad de cambiar la forma en que funciona el subsistema de rastreo, lo que resulta en una condición de denegación de servicio en la base de datos».

IBM lanzó un parche el 30 de junio para remediar la vulnerabilidad.

seguridad de datos

CVE-2020-4414 está causado por el uso inseguro de la memoria compartida que emplea la utilidad de seguimiento de Db2 para intercambiar información con el sistema operativo subyacente en el sistema.

La utilidad de seguimiento de Db2 se utiliza para registrar datos y eventos de Db2, incluidos los informes de información del sistema de Db2, la recopilación de datos necesarios para el análisis y ajuste del rendimiento, y la captura de seguimiento de auditoría de acceso a datos por motivos de seguridad.

Dado que la memoria compartida almacena información confidencial, un atacante con acceso al sistema podría crear una aplicación maliciosa para sobrescribir la memoria con datos no autorizados dedicados a rastrear datos.

«Esto significa que un usuario local sin privilegios puede abusar de esto para provocar una condición de denegación de servicio simplemente escribiendo datos incorrectos en esa sección de memoria», dijo Rakhmanov.

Aún más preocupante, un proceso con pocos privilegios que se ejecuta en la misma computadora que la base de datos de Db2 podría alterar el seguimiento de Db2 y capturar datos confidenciales y usar la información para llevar a cabo otros ataques.

Si la falla le suena familiar, es porque es el mismo tipo de vulnerabilidad de fuga de memoria que afectó al servicio de videoconferencia WebEx de Cisco (CVE-2020-3347) que podría permitir a los atacantes locales autenticados obtener nombres de usuario, tokens de autenticación e información de reuniones.

Se recomienda que los usuarios de Db2 actualicen su software a la última versión para mitigar el riesgo.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática