22/04/20
Специалист ИБ-компании Agile Information Security Педро Рибейро (Pedro Ribeiro) раскрыл подробности о четырех неисправленных уязвимостях в ПО корпоративного класса IBM Data Risk Manager (IDRM), предназначенном для анализа активов организации и связанных с ними рисков. Исследователь решил предать огласке информацию об уязвимостях и PoC-эксплоиты для них после того, как IBM не приняла его отчет, поданный по всем правилам через CERT/CC.
Рибейро удалось успешно проэксплуатировать все четыре уязвимости в версиях IBM Data Risk Manager с 2.0.1 до 2.0.3, не являющихся последними. Вероятно, атака также работает и в версиях 2.0.4-2.0.6, поскольку в журнале изменений не упоминаются исправления каких-либо уязвимостей. Совокупная эксплуатация четырех уязвимостей позволяет удаленно выполнить код с привилегиями суперпользователя.
Первая уязвимость позволяет осуществить обход аутентификации и существует из-за логической ошибки в функции ID сеанса, позволяющей сбрасывать пароль любой учетной записи, в том числе администратора.
Вторая проблема – уязвимость внедрения команд, связанная с функцией сканирования сети с помощью Nmap-скриптов. По словам Рибейро, атакующий может снабдить эти скрипты вредоносными командами.
Как выяснил исследователь, виртуальные установки IDRM содержат встроенную учетную запись пользователя с логином «a3user» и паролем «idrm». Если заводские учетные данные не изменить, злоумышленник может захватить полный контроль над атакуемой системой.
Четвертая уязвимость существует в конечной точке API, позволяющей авторизованным пользователям загружать с системы файлы журнала. Исследователь обнаружил, что один из параметров конечной точки позволяет осуществить обход каталога и загружать с системы любые файлы.
Рибейро уведомил об уязвимостях компанию IBM в установленном порядке. Однако в ответ получил сообщение следующего содержания: «Мы оценили отчет и закрыли его как выходящий за рамки нашей программы раскрытия уязвимостей, поскольку данный продукт предназначен только для "расширенной" поддержки, оплачиваемой нашими клиентами».
По словам исследователя, его целью не было получения вознаграждения. «У меня даже нет аккаунта HackerOne, поскольку я не согласен с условиями раскрытия ни HackerOne, ни IBM. Я просто хотел уведомить IBM ответственным образом, чтобы она могла исправить уязвимости», - сообщил Рибейро.
Как сообщили изданию The Hacker News в пресс-службе компании, отчет исследователя был отклонен по ошибке, и сейчас специалисты работают над исправлением проблем.
