IBM kurumsal güvenlik yazılımında bulunan dört sıfır gün güvenlik açığı, IBM’in bunları düzeltmeyi ve CERT / CC aracılığıyla gönderilen güvenlik açığı raporunu kabul etmeyi reddettikten sonra bugün bir güvenlik araştırmacısı tarafından açıklandı.
Bugün Agile Information Security Araştırma Direktörü Pedro Ribeiro tarafından GitHub’da yayınlanan dört sıfır gün açığı, “veriyle ilgili iş risklerini ortaya çıkarmak, analiz etmek ve görselleştirmek” için tasarlanmış bir araç olan IBM Veri Risk Yöneticisi’nde (IDRM) keşfedildi.
Ribeiro IDRM Linux sanal cihazını incelerken , bir kimlik doğrulama baypası , bir komut enjeksiyonu , güvenli olmayan bir varsayılan şifre ve rastgele bir dosya indirme buldu .
Bu güvenlik açıklarından ayrı olarak yararlansa da, ilk üçünü zincirlemek, kimliği doğrulanmamış saldırganların güvenlik açığı bulunan sistemlerde kök olarak uzaktan kod yürütmesine olanak tanır.
Ayrıca, ilk ve dördüncü güvenlik açıklarını birleştirerek, kimliği doğrulanmamış saldırganlar rasgele dosyalar indirebilir.
Ribeiro “IDRM yazılımında çok hassas bilgiler var, bu bir kurumsal güvenlik ürünüdür” şeklinde açıklama yaptı..
“Bir IDRM cihazını hacklemek, şirketi etkileyen kritik güvenlik açıkları hakkında bilgi içerdiğinden ve diğer güvenlik araçlarına erişmek için kimlik bilgilerini sakladığından tam ölçekli bir şirket güvenliğinin ihlal edilmesine yol açabilir.
“Buna ek olarak, kimlik doğrulamasını atlayan ve uzaktan kod yürütme ve rasgele dosya indirme işlemlerinden yararlanan iki Metasploit modülü açıklandı.”
Sıfır gün açığının kamuya açıklanmasına yol açan iletişimsizlik
Sıfır gün açıkları Agile Information Security araştırmacısı tarafından IBM, güvenlik açığı raporunu kabul etmeyi reddeden bir yanıt verdikten sonra yayınlandı.
IBM, raporu değerlendirdiklerini ve “bu ürün yalnızca müşterilerimiz tarafından ödenen” geliştirilmiş “destek için olduğu için” güvenlik açığı açıklama programımızın kapsamı dışında olarak “kapattıklarını söyledi.
IBM, https://hackerone.com/ibm politikamızda belirtilmiştir . “Bu programa katılabilmek için, rapor göndermeden önceki 6 ay içinde IBM Corporation veya bir IBM yan kuruluşu veya IBM istemcisi için güvenlik sınaması yapmak üzere sözleşme yapmalısınız.”
Bu yanıttan sonra Ribeiro, şirketlerin sorunları azaltmasına izin vermek için tüm bilgileri kamuya açıklamaya karar verdi. Ayrıca açıklamasına aşağıdaki soruları ekledi:
- IBM neden ÜCRETSİZ ayrıntılı güvenlik açığı raporunu kabul etmeyi reddetti ?
- Cevapları ne anlama geliyor? Müşterilerden gelen yalnızca kabul edilebilir güvenlik açığı raporları mı?
- Yoksa ürün desteklenmiyor mu? Öyleyse, neden hala yeni müşterilere satışa sunuluyor?
- Bir kurumsal güvenlik ürünü satarken nasıl bu kadar sorumsuz olabilirler?
BleepingComputer, Ribeiro’nun güvenlik açığı raporunu reddetmenin ve güvenlik sorunlarını düzeltmeyi reddetmenin arkasındaki nedeni bulmak için IBM’e ulaştı.
Şirket, BleepingComputer’a “Bir işlem hatası, bu durumu IBM’e bildiren araştırmacıya yanlış bir yanıt verdik.” dedi.
IBM sıfır günün ikisini yamaladı
BleepingComputer ile paylaşılan bir güvenlik danışma belgesine göre , IBM, IBM Data Risk Manager (IDRM) ürün sürümleri 2.0.1 ve sonraki sürümlerinde bulunan rasgele dosya indirme ve komut ekleme güvenlik açıklarını düzeltti.
İki güvenlik sorununu gidermek için, IDRM’yi iki güvenlik açığını gideren 2.0.4 sürümüne yükseltmeniz gerekir. Mevcut IDRM 2.0.4 sürümünü IBM Passport Advantage aracılığıyla indirebilirsiniz .
IBM hala sıfır gün kimlik doğrulama baypasını araştırıyor ve mümkün olan en kısa sürede nasıl düzeltileceği hakkında daha fazla bilgi sağlayacak.