Noticias
Qué está pasando con IBM Data Risk Manager?
IBM Data Risk Manager ofrece una solución de seguridad para entornos corporativos. Sin embargo, ¿es todo tan seguro como debería en un producto de este tipo?
Hace tiempo que conozco IBM Data Risk Manager y, honestamente, me parece una excelente propuesta de seguridad. Hablamos de una herramienta de seguridad empresarial que agrega múltiples feeds de herramientas de escaneo de vulnerabilidades, así como otras herramientas de gestión de riesgos para permitir a los administradores investigar problemas de seguridad. Un appliance que centraliza el control de la seguridad de nuestra infraestructura, y nos mantiene a la última en lo referido a las amenazas más novedosas.
Por eso me está costando asimilar algo que he leído en Twitter y que me ha llevado a un repositorio de GitHub. Y es que según afirma Pedro Ribeira, director de investigación de Agile Information Security, la falta de un respuesta por parte del gigante azul le ha llevado a adoptar una medida drástica (pero común en el campo de la seguridad). Este es el tweet:
I am disclosing four 0day for IBM Data Risk Manager, an ENTERPRISE SECURITY APPLIANCE@IBMSecurity refused to accept @certcc‘s disclosure and told them to fleck off! 🤣
Advisory and exploits here, have fun: https://t.co/60a7XRZt4C— Pedro Ribeiro (@pedrib1337) April 21, 2020
Es decir, «Estoy publicando cuatro [vulnerabilidades] zero-day de IBM Data Ris Manaher, un APPLIANCE DE SEGURIDAD EMPRESARIAL. IBM rechazo la información de CERT/CC. Información y exploits aquí, diviértete».
Al revisar el enlace de Hithub, vemos que Ribeiro cuenta que encontró cuatro vulnerabilidades y trabajó con el equipo CERT / CC para informar de los problemas a IBM a través de su programa oficial de recompensas informar sobre errores. Lo sorprendente es, según afirma, que, IBM se negó a aceptar la divulgación de errores respondiendo con un mensaje que, como mínimo, es extraño:
we have assessed this report and closed as being out of scope for our vulnerability disclosure program since this product is only for «enhanced» support paid for by our customers. This is outlined in our policy https://hackerone.com/ibm. To be eligible to participate in this program, you must not be under contract to perform security testing for IBM Corporation, or an IBM subsidiary, or IBM client within 6 months prior to submitting a report..
Ante tan desconcertante respuesta, el investigador se plantea las siguientes preguntas:
- «¿Por qué IBM se negó a aceptar un informe de vulnerabilidad detallado gratis?
- «¿Qué significa su respuesta? ¿Son los únicos que aceptan informes de vulnerabilidad exclusivamente de sus clientes?
- «¿Ya no se ofrece soporte para el producto? Si es así, ¿por qué todavía se ofrece a la venta a nuevos clientes?
Tras recibir esta respuesta, Ribeiro ha optado por hacer públicas las vulnerabilidades de IBM Data Risk Manager en el ya citado repositorio. Estos son los cuatro agujeros de seguridad, y lo cierto es que son algo a tener en cuenta
- Es posible emplear un bypass para eludir el sistema de autenticación.
- Es posible inyectar y ejecutar código arbitrario en una de las APIs de IBM Data Risk Manager.
- El sistema tiene una credencial configurada por defecto en todas las instalaciones: a3user/idrm
- Una vulnerabilidad en una de las APIs permite a un atacante descargar ficheros de la instalación.
«Este aviso describe las cuatro vulnerabilidades y los pasos necesarios para encadenar las tres primeras para lograr la ejecución remota de código no autenticada como root«. «Además, dos módulos Metasploit que omiten la autenticación y explotan la ejecución remota de código y la descarga arbitraria de archivos también se han hecho públicos«, afirmó Ribeiro.
Estos cuatro problemas de seguridad en IBM Data Risk Manager son explotables de manera remota, por lo que cualquier appliance conectado a la red está, desde este mismo momento, muy seriamente expuesto a ser atacado con la información revelada hoy. Afortunadamente la instalación estándar de estos sistemas no los hace accesibles desde Internet. No obstante, basta con que un atacante obtenga acceso a la red corporativa para que sí que pueda hacer uso de los agujeros de seguridad.