Τέσσερις zero-day ευπάθειες, οι οποίες ανακαλύφθηκαν στο GitHub, δημοσιεύτηκαν από τον ερευνητή ασφάλειας Pedro Ribeiro, Διευθυντή Έρευνας στην Agile Information Security, αφού η IBM αρνήθηκε να τις επιδιορθώσει και να παραδεχτεί την ύπαρξή τους.
Οι ευπάθειες εντοπίστηκαν στο λογισμικό ασφάλειας επιχειρήσεων IBM Data Risk Manager (IDRM), το οποίο βοηθά μια επιχείρηση να αποκαλύψει, να αναλύσει και να οπτικοποιήσει επιχειρηματικούς κινδύνους που σχετίζονται με δεδομένα.
Ζero-day ευπάθειες
Ενώ ο ερευνητής ασφαλείας έκανε έλεγχο στον IBM Data Risk Manager, ανακάλυψε τέσσερις ευπάθειες zero-day, τρεις από τις οποίες είναι κρίσιμες και μία υψηλού κινδύνου.
Οι ευπάθειες ήταν οι εξής:
Υπάλληλος Καταγγέλλει την Apple για Παρακολούθηση
Το Europa Clipper της NASA οδεύει στον Δία
Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη
- Παράκαμψη ελέγχου ταυτότητας
- Προσθήκη εντολών
- Μη ασφαλής προεπιλεγμένος κωδικός πρόσβασης
- Αυθαίρετη λήψη αρχείου
Οι τρεις πρώτες ευπάθειες, αν χρησιμοποιηθούν σε συνδυασμό από hackers μπορούν να επιτρέψουν απομακρυσμένη εκτέλεση κώδικα.
“Επιπλέον, δύο λειτουργικές μονάδες Metasploit που παρακάμπτουν τον έλεγχο ταυτότητας και εκμεταλλεύονται την απομακρυσμένη εκτέλεση κώδικα και την αυθαίρετη λήψη αρχείων κυκλοφόρησαν στο κοινό”, πρόσθεσε.
Η IBM δήλωσε ότι “έχουμε αξιολογήσει αυτήν την αναφορά και καταλήξαμε ότι πρόκειται για μια εκτός πεδίου εφαρμογή του προγράμματος αποκάλυψης ευπαθειών μας, καθώς αυτό το προϊόν προορίζεται μόνο για “ενισχυμένη” υποστήριξη που πληρώνουν οι πελάτες μας.”
Η εταιρεία είπε ότι «ένα σφάλμα διαδικασίας οδήγησε σε ακατάλληλη απάντηση προς τον ερευνητή που ανέφερε αυτήν την κατάσταση στην IBM».
Τα σφάλματα διορθώθηκαν
Η IBM έχει ήδη επιδιορθώσει δύο από τις ευπάθειες και συνεχίζει να ερευνά πρόσθετες ενέργειες για περαιτέρω επιδιορθώσεις.
Η ευπάθεια προσθήκης εντολών στις εκδόσεις 2.0.1, 2.0.2 και 2.0.3 αντιμετωπίζεται στην έκδοση 2.0.4
Η αυθαίρετη λήψη αρχείων που εντοπίζεται στις εκδόσεις 2.0.2 και 2.0.3 αντιμετωπίζεται στην έκδοση 2.0.4
Για να μετριαστούν οι ευπάθειες, η IBM προτείνει στους χρήστες να κάνουν αναβάθμιση στην έκδοση 2.0.6 IDRM.