Agile信息安全公司的研究人员Pedro Ribeiro 4月21日在GitHub上公开披露了四个IBM 0-day漏洞。
这些漏洞影响IBM Data Risk Manager(IDRM),IDRM是一款企业安全工具,聚合来自漏洞扫描工具和其他风险管理工具的信息,以便管理员调查安全问题。
Ribeiro通过美国CERT/CC联系IBM,打算与IBM协同披露这些漏洞,但是IBM拒绝接受漏洞报告。IBM驳回的理由是,IDRM产品仅为付费购买“增强”支持的客户提供,因而该报告不符合IBM在HackerOne平台上的漏洞披露计划。但是,Ribeiro指出IBM的“漏洞赏金项目”并不提供赏金,他提供的是一份高质量的漏洞报告,且无意获取赏金。
根据Ribeiro公布的信息,IBM IDRM Linux虚拟设备存在四个安全漏洞,其中三个超危(身份认证错误、命令注入、使用硬编码凭证),一个高危漏洞(路径遍历)。未经身份认证的远程攻击者组合使用这三个超危漏洞可以root权限执行代码。
该身份认证错误漏洞源于sessionID特征中存在一个逻辑错误,攻击者可利用该漏洞重置任何已有账户密码,包括管理员密码。
命令注入漏洞源于IDRM的/albatross/restAPI/v2/nmap/run/scan中的某个API允许用户使用nmap脚本执行网络扫描,如果该脚本文件由攻击者上传,那么就可能被附加恶意命令。
该使用硬编码凭证漏洞产生的原因在于IDRM虚拟设备有一个管理员用户,该用户名为“a3user”,默认密码为“idrm”。该用户被允许通过SSH登录和运行sudo命令。虽然IDRM强制web接口的管理员用户(“admin”)在首次登录时修改密码,但是却没有要求“a3user”用户修改密码。
第四个漏洞源于/albatross/eurekaservice/fetchLogFiles中的某个API允许用户从系统上传日志文件,然而,logFileNameList参数包含一个目录遍历漏洞,攻击者可利用该漏洞从系统下载任意文件。
Ribeiro测试了IDRM 2.0.1版本至2.0.3版本,确认这些版本中存在上述漏洞。该软件的最新版本为2.0.6版本,虽然未测试最新版本,但是Ribeiro认为2.0.4版本至2.0.6版本很有可能也存在这些漏洞,因为IBM并未在任何changelog中提到已修复的漏洞。对于2.0.0版本,Ribeiro不确认是否存在漏洞,该版本已不再获得厂商支持。
Ribeiro表示,IDRM是一款处理非常敏感信息的企业安全产品。攻陷IDRM设备可能导致公司全面沦陷,因为该工具含有可访问其他安全工具的凭证,更别提它包含了影响公司的严重漏洞的信息。”
IBM对外媒ZDNet表示驳回该名研究人员的报告是由于流程错误,并表示当前正在着手推出缓解措施,并会在安全公告中进行说明。