Een security-onderzoeker heeft details gepubliceerd van vier zero-day-kwetsbaarheden in IBM Data Risk Manager, nadat het bedrijf weigerde om in te gaan op een eerdere poging van de onderzoeker om de bugs via het bugbountyprogramma van IBM op een verantwoordelijke manier te openbaren.
IBM Data Risk Manager (IDRM) is een beveiligingsplatform voor grote bedrijven dat informatie verzamelt van tools voor het scannen van kwetsbaarheden en risicobeheer, en in een dashboard giet, zodat beheerders beveiligingsproblemen kunnen onderzoeken.
“IDRM is een beveiligingsproduct dat zeer gevoelige informatie verwerkt”, zegt Pedro Ribeiro. Hij is Director of Research bij Agile Information Security en degene die de kwetsbaarheden ontdekte. “Het hacken van een IDRM-apparaat kan leiden tot een volledige overname van het bedrijfsnetwerk, omdat het inloggegevens opslaat voor toegang tot andere beveiligingstools, om nog maar te zwijgen over het feit dat het informatie bevat over kritieke kwetsbaarheden die het bedrijf treffen.”
Vier zero-days
Ribeiro trof in totaal vier bugs aan en probeerde IBM via CERT/CC te contacteren om samen een openbaarmaking van de kwetsbaarheden te coà¶rdineren. Daarop ontving de security-onderzoeker volgend antwoord van Big Blue: “We hebben dit rapport beoordeeld en afgesloten als zijnde buiten het toepassingsgebied van ons programma voor openbaarmaking van kwetsbaarheden, aangezien dit product alleen bedoeld is voor ‘enhanced support’ waarvoor onze klanten betalen.”
Dat is een bizar antwoord waar ook Ribeiro kop noch staart aan kreeg. Omdat IBM weigerde in te gaan op zijn poging om de zero-daybugs op een verantwoordelijke manier te openbaren, ging de security-onderzoeker over tot het publiceren van alle details op GitHub, in de hoop om het bedrijf op die manier aan te zetten tot actie.
Het gaat om een authenticatie-bypass, een opdrachtinjectiepunt in één van de IDRM-api’s, een hard-coded gebruikersnaam en wachtwoord, en een kwetsbaarheid in de api waarmee een aanvaller vanop afstand bestanden van het IDRM-apparaat kan downloaden. Ribeiro beschrijft in zijn rapport alle kwetsbaarheden in detail en hoe bedrijven ze kunnen mitigeren.
Alle vier de bugs kunnen worden misbruikt vanop afstand, wat betekent dat aanvallen over het internet kunnen worden uitgevoerd als het IDRM-apparaat online staat. In principe zou dat niet het geval mogen zijn, waardoor de impact sowieso wordt gemitigeerd. In dat geval heeft een aanvaller eerst toegang tot een computer in het bedrijfsnetwerk nodig om vervolgens lateraal het IDRM-apparaat aan te vallen.
Procedurefout
Ribeiro’s publicatie van de bugs heeft zijn doel bereikt. IBM heeft ondertussen wel gereageerd en werkt aan een oplossing. Big Blue wijt de gebeurtenis aan een procedurefout. “Een procesfout resulteerde in een onjuist antwoord op de onderzoeker die deze situatie aan IBM meldde. We werken aan mitigatiestappen en deze zullen worden besproken in een uit te brengen beveiligingsadvies”, klinkt het in een reactie.