Agile信息安全公司的研究人员Pedro Ribeiro 4月21日在GitHub上公开披露了四个IBM 0-day漏洞。

这些漏洞影响IBM Data Risk Manager（IDRM），IDRM是一款企业安全工具，聚合来自漏洞扫描工具和其他风险管理工具的信息，以便管理员调查安全问题。

Ribeiro通过美国CERT/CC联系IBM，打算与IBM协同披露这些漏洞，但是IBM拒绝接受漏洞报告。IBM驳回的理由是，IDRM产品仅为付费购买“增强”支持的客户提供，因而该报告不符合IBM在HackerOne平台上的漏洞披露计划。但是，Ribeiro指出IBM的“漏洞赏金项目”并不提供赏金，他提供的是一份高质量的漏洞报告，且无意获取赏金。

根据Ribeiro公布的信息，IBM IDRM Linux虚拟设备存在四个安全漏洞，其中三个超危（身份认证错误、命令注入、使用硬编码凭证），一个高危漏洞（路径遍历）。未经身份认证的远程攻击者组合使用这三个超危漏洞可以root权限执行代码。

该身份认证错误漏洞源于sessionID特征中存在一个逻辑错误，攻击者可利用该漏洞重置任何已有账户密码，包括管理员密码。

命令注入漏洞源于IDRM的/albatross/restAPI/v2/nmap/run/scan中的某个API允许用户使用nmap脚本执行网络扫描，如果该脚本文件由攻击者上传，那么就可能被附加恶意命令。

该使用硬编码凭证漏洞产生的原因在于IDRM虚拟设备有一个管理员用户，该用户名为“a3user”，默认密码为“idrm”。该用户被允许通过SSH登录和运行sudo命令。虽然IDRM强制web接口的管理员用户（“admin”）在首次登录时修改密码，但是却没有要求“a3user”用户修改密码。

第四个漏洞源于/albatross/eurekaservice/fetchLogFiles中的某个API允许用户从系统上传日志文件，然而，logFileNameList参数包含一个目录遍历漏洞，攻击者可利用该漏洞从系统下载任意文件。

Ribeiro测试了IDRM 2.0.1版本至2.0.3版本，确认这些版本中存在上述漏洞。该软件的最新版本为2.0.6版本，虽然未测试最新版本，但是Ribeiro认为2.0.4版本至2.0.6版本很有可能也存在这些漏洞，因为IBM并未在任何changelog中提到已修复的漏洞。对于2.0.0版本，Ribeiro不确认是否存在漏洞，该版本已不再获得厂商支持。

Ribeiro表示，IDRM是一款处理非常敏感信息的企业安全产品。攻陷IDRM设备可能导致公司全面沦陷，因为该工具含有可访问其他安全工具的凭证，更别提它包含了影响公司的严重漏洞的信息。”

IBM对外媒ZDNet表示驳回该名研究人员的报告是由于流程错误，并表示当前正在着手推出缓解措施，并会在安全公告中进行说明。