आईबीएम, ओक रिज नेशनल लेबोरेटरी
IBM डेटा जोखिम प्रबंधक (IDRM), IBM के एंटरप्राइज़ सुरक्षा उपकरणों में से एक के भीतर कई सुरक्षा खामियां कथित तौर पर एक तृतीय-पक्ष सुरक्षा शोधकर्ता द्वारा प्रकट की गई थीं। संयोग से, जीरो-डे सुरक्षा भेद्यता अभी तक आधिकारिक तौर पर स्वीकार नहीं की गई है, अकेले आईबीएम द्वारा सफलतापूर्वक पैच किया गया है।
एक शोधकर्ता जो संभावित दूरस्थ कोड निष्पादन (आरसीई) क्षमताओं के साथ कम से कम चार सुरक्षा कमजोरियों की खोज करता है, कथित तौर पर जंगली में उपलब्ध है। शोधकर्ता का दावा है कि उसने आईबीएम से संपर्क करने का प्रयास किया था और आईबीएम के डेटा जोखिम प्रबंधक सुरक्षा आभासी उपकरण के अंदर सुरक्षा खामियों का विवरण साझा किया था, लेकिन आईबीएम ने उन्हें स्वीकार करने से इनकार कर दिया और इसके परिणामस्वरूप, जाहिर तौर पर उन्हें अप्रकाशित छोड़ दिया।
आईबीएम ने शून्य दिवस सुरक्षा भेद्यता रिपोर्ट स्वीकार करने से इनकार कर दिया?
IBM डेटा रिस्क मैनेजर एक उद्यम उत्पाद है जो डेटा की खोज और वर्गीकरण प्रदान करता है। मंच में व्यापार जोखिम के बारे में विस्तृत विश्लेषण शामिल है जो संगठन के अंदर सूचना परिसंपत्तियों पर आधारित है। जोड़ने की आवश्यकता नहीं है, प्लेटफ़ॉर्म का उपयोग करने वाले व्यवसायों के बारे में महत्वपूर्ण और संवेदनशील जानकारी तक पहुंच है। यदि समझौता किया जाता है, तो पूरे मंच को एक दास में बदल दिया जा सकता है जो हैकर्स को और भी अधिक सॉफ्टवेयर और डेटाबेस तक आसान पहुंच प्रदान कर सकता है।
सुरक्षा शोधकर्ता चार शून्य दिनों का खुलासा करता है #vulnerabilities आईबीएम में से एक, आईबीएम डेटा रिस्क मैनेजर (IDRM) को प्रभावित करता है #enterprisesecurity उपकरण। #साइबर सुरक्षा https://t.co/jvdcufgQqi https://t.co/2cKjfrCOoz
- डेविड डी सूसा (@DavidDeSDrumond) 21 अप्रैल, 2020
यूके में एजाइल सूचना सुरक्षा के पेड्रो रिबेरो ने आईबीएम डेटा रिस्क मैनेजर के संस्करण 2.0.3 की जांच की और कथित तौर पर कुल चार कमजोरियों की खोज की। खामियों की पुष्टि करने के बाद, रिबेरो ने कार्नेगी मेलन विश्वविद्यालय में CERT / CC के माध्यम से IBM के प्रकटीकरण का प्रयास किया। संयोग से, आईबीएम हैकरऑन मंच का संचालन करता है, जो अनिवार्य रूप से इस तरह की सुरक्षा कमजोरियों की रिपोर्ट करने के लिए एक आधिकारिक चैनल है। हालाँकि, रिबेरो एक हैकर उपयोगकर्ता नहीं है और जाहिर तौर पर वह इसमें शामिल नहीं होना चाहता था, इसलिए उसने सीईआरटी / सीसी के माध्यम से जाने की कोशिश की। अजीब बात है, आईबीएम ने निम्न संदेश के साथ खामियों को स्वीकार करने से इनकार कर दिया:
' हमने इस रिपोर्ट का आकलन किया है और हमारे भेद्यता प्रकटीकरण कार्यक्रम के दायरे से बाहर होने के कारण इसे बंद कर दिया है क्योंकि यह उत्पाद केवल हमारे ग्राहकों द्वारा 'बढ़ाए गए' समर्थन के लिए है। । यह हमारी नीति में उल्लिखित है https://hackerone.com/ibm । इस कार्यक्रम में भाग लेने के लिए पात्र होने के लिए, आपको रिपोर्ट प्रस्तुत करने से पहले 6 महीने के भीतर आईबीएम निगम, या आईबीएम सहायक, या आईबीएम ग्राहक के लिए सुरक्षा परीक्षण करने के लिए अनुबंध के अधीन नहीं होना चाहिए। '
नि: शुल्क भेद्यता रिपोर्ट के कथित तौर पर अस्वीकार कर दिए जाने के बाद, शोधकर्ता ने चार मुद्दों के बारे में गिटहब पर विवरण प्रकाशित किया । शोधकर्ता ने रिपोर्ट प्रकाशित करने का कारण आईबीएम आईडीआरएम का उपयोग करने वाली कंपनियों को बनाना बताया सुरक्षा खामियों से अवगत कराया और उन्हें किसी भी हमले को रोकने के लिए शमन करने की अनुमति दें।
आईबीएम IDRM में 0-दिन सुरक्षा कमजोरियां क्या हैं?
चार में से, तीन सुरक्षा दोषों का उपयोग उत्पाद पर मूल विशेषाधिकार प्राप्त करने के लिए किया जा सकता है। खामियों में एक प्रमाणीकरण बायपास, एक कमांड इंजेक्शन दोष और एक असुरक्षित डिफ़ॉल्ट पासवर्ड शामिल है।
प्रमाणीकरण बाईपास एक हमलावर को एक एपीआई के साथ एक समस्या का दुरुपयोग करने की अनुमति देता है ताकि डेटा जोखिम प्रबंधक उपकरण को एक मनमाना सत्र आईडी और एक उपयोगकर्ता नाम स्वीकार किया जा सके और फिर उस उपयोगकर्ता नाम के लिए एक नया पासवर्ड बनाने के लिए एक अलग कमांड भेज सके। हमले का सफल शोषण अनिवार्य रूप से वेब प्रशासन कंसोल तक पहुंच प्रदान करता है। इसका मतलब है कि प्लेटफ़ॉर्म का प्रमाणीकरण या अधिकृत एक्सेस सिस्टम पूरी तरह से बायपास हो चुके हैं और हमलावर के पास IDRM तक पूरी प्रशासनिक पहुँच है।
https://twitter.com/sudoWright/status/1252641787216375818
व्यवस्थापक पहुंच के साथ, एक हमलावर एक मनमाना फ़ाइल अपलोड करने के लिए कमांड इंजेक्शन भेद्यता का उपयोग कर सकता है। जब तीसरे दोष को पहले दो कमजोरियों के साथ जोड़ दिया जाता है, तो यह IDRM वर्चुअल उपकरण पर रूट के रूप में रिमोट कोड एक्ज़ेक्यूशन (RCE) को प्राप्त करने के लिए एक अनौपचारिक दूरस्थ हमलावर को अनुमति देता है, जिससे सिस्टम समझौता पूरा होता है। आईबीएम IDRM में चार शून्य दिवस सुरक्षा कमजोरियों का सारांश:
- IDRM प्रमाणीकरण तंत्र का एक बायपास
- आईडीआरएम एपीआई में से एक में एक कमांड इंजेक्शन बिंदु जो ऐप पर हमलों को अपनी कमांड चलाने देता है
- एक हार्डकोड उपयोगकर्ता नाम और पासवर्ड कॉम्बो a3user / idrm
- IDRM API में एक भेद्यता जो कि हैकर को IDRM उपकरण से फाइल डाउनलोड करने की अनुमति दे सकती है
यदि यह पर्याप्त रूप से हानिकारक नहीं है, तो शोधकर्ता ने दो मेटासैप्लोइट मॉड्यूल के बारे में विवरण प्रकट करने का वादा किया है जो प्रमाणीकरण और शोषण को दरकिनार करते हैं रिमोट कोड निष्पादन तथा मनमानी फ़ाइल डाउनलोड खामियों।
यह ध्यान रखना महत्वपूर्ण है कि आईबीएम आईडीआरएम के अंदर सुरक्षा कमजोरियों की उपस्थिति के बावजूद, की संभावना उसी का सफलतापूर्वक दोहन करने के बजाय पतला कर रहे हैं । यह मुख्य रूप से है क्योंकि कंपनियां जो अपने सिस्टम पर आईबीएम आईडीआरएम तैनात करती हैं, आमतौर पर इंटरनेट के माध्यम से पहुंच को रोकती हैं। हालाँकि, यदि IDRM उपकरण ऑनलाइन उजागर हो जाता है, तो हमलों को दूर से किया जा सकता है। इसके अलावा, एक हमलावर जिसके पास कंपनी के आंतरिक नेटवर्क पर कार्य केंद्र तक पहुंच है, वह संभावित रूप से IDRM उपकरण को संभाल सकता है। एक बार सफलतापूर्वक समझौता करने के बाद, हमलावर आसानी से अन्य प्रणालियों के लिए क्रेडेंशियल निकाल सकता है। ये संभावित रूप से हमलावर को कंपनी के नेटवर्क पर अन्य प्रणालियों में बाद में जाने की क्षमता प्रदान करेंगे।
टैग आईबीएम
