• Votre panier est vide.

  • LOGIN

Un chercheur révèle 4 bogues de type « zero day » dans le logiciel de sécurité d’entreprise d’IBM


Certains articles de veille peuvent faire l'objet de traduction automatique.


Un chercheur en cybersécurité a aujourd’hui rendu publics des détails techniques et le PoC de 4 vulnérabilités non corrigées de type « zero-day » affectant un logiciel de sécurité d’entreprise proposé par IBM, après que la société ait refusé de reconnaître la divulgation soumise de manière responsable.

Le produit de prime concerné en question est IBM Data Risk Manager (IDRM) qui a été conçu pour analyser les actifs d’informations commerciales sensibles d’une organisation et déterminer les risques associés.

Selon Pedro Ribeiro de la société Agile Information Security, IBM Data Risk Manager contient trois vulnérabilités de gravité critique et un bogue à fort impact, tous énumérés ci-dessous, qui peuvent être exploités par un attaquant non authentifié joignable sur le réseau, et qui, lorsqu’ils sont enchaînés ensemble, pourraient également conduire à l’exécution de code à distance en tant que root.

  • Contournement de l’authentification
  • Injection de commandes
  • Mot de passe par défaut non sécurisé
  • Téléchargement de fichiers arbitraires

M. Ribeiro a testé avec succès les failles par rapport à la version 2.0.1 à 2.0.3 d’IBM Data Risk Manager, qui n’est pas la dernière version du logiciel, mais estime qu’elles fonctionnent également de la version 2.0.4 à la dernière version 2.0.6 car « il n’y a aucune mention de vulnérabilité corrigée dans le journal des modifications ».

« L’IDRM est un produit de sécurité d’entreprise qui traite des informations très sensibles. La compromission d’un tel produit pourrait conduire à une compromission à grande échelle de l’entreprise, car l’outil possède des références pour accéder à d’autres outils de sécurité, sans compter qu’il contient des informations sur les vulnérabilités critiques qui affectent l’entreprise », a déclaré M. Ribeiro.

Les vulnérabilités critiques du jour zéro dans le Data Risk Manager d’IBM

En bref, la faille de contournement de l’authentification exploite une erreur logique dans la fonction d’ID de session pour réinitialiser le mot de passe de tout compte existant, y compris celui de l’administrateur.

La faille de l’injection de commandes réside dans la façon dont le logiciel de sécurité d’entreprise d’IBM permet aux utilisateurs d’effectuer des analyses de réseau à l’aide de scripts Nmap, qui peuvent apparemment être équipés de commandes malveillantes lorsqu’elles sont fournies par des attaquants.

Selon la divulgation de la vulnérabilité, à SSH et exécuter les commandes sudo, l’appliance virtuelle IDRM a également un utilisateur administratif intégré avec le nom d’utilisateur « a3user » et le mot de passe par défaut « idrm », qui, s’il n’est pas modifié, pourrait permettre aux attaquants à distance de prendre le contrôle complet des systèmes ciblés.

La dernière vulnérabilité réside dans un point final d’API qui permet aux utilisateurs authentifiés de télécharger des fichiers journaux du système. Cependant, selon le chercheur, un des paramètres de ce point d’extrémité souffre d’une faille de traversée de répertoire qui pourrait permettre à des utilisateurs malveillants de télécharger n’importe quel fichier du système.

Outre les détails techniques, le chercheur a également publié deux modules Metasploit pour le contournement de l’authentification, exécution du code à distanceet téléchargement de fichiers arbitraires de l’UE.

M. Ribeiro affirme avoir signalé ce problème à IBM via le CERT/CC et en réponse, la société a refusé d’accepter le rapport de vulnérabilité, déclarant « Nous avons évalué ce rapport et l’avons classé comme étant hors de portée de notre programme de divulgation de la vulnérabilité puisque ce produit n’est destiné qu’à un support « amélioré » payé par nos clients ».

En réponse, M. Ribeiro a déclaré : « En tout cas, je n’ai pas demandé ou attendu de prime puisque je n’ai pas de compte HackerOne et que je ne suis pas d’accord avec les conditions de divulgation de HackerOne ou d’IBM dans ce domaine. Je voulais simplement les divulguer à IBM de manière responsable et les laisser régler le problème ».

The Hacker News a contacté IBM, et nous mettrons à jour l’article dès que nous aurons plus d’informations.

Mise à jour :

Un porte-parole d’IBM a déclaré à The Hacker News qu' »une erreur de processus a entraîné une réponse inappropriée au chercheur qui a signalé cette situation à IBM. Nous avons travaillé sur les mesures d’atténuation et elles seront discutées dans un avis de sécurité qui sera publié ».

Voir aussi :

janvier 22, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)