Kerentanan Keamanan IBM Zero-Day RCE yang Mempengaruhi Manajer Risiko Data Tetap Tidak Tertandingi Bahkan Setelah Rilis Publik?
Beberapa kelemahan keamanan dalam IBM Data Risk Manager (IDRM), salah satu alat keamanan perusahaan IBM, dilaporkan diungkapkan oleh peneliti keamanan pihak ketiga. Kebetulan, kerentanan keamanan Zero-Day belum diakui secara resmi, apalagi berhasil ditambal oleh IBM.
Seorang peneliti yang menemukan setidaknya empat kerentanan keamanan, dengan potensi kapabilitas Remote Code Execution (RCE), dilaporkan tersedia di alam liar. Peneliti tersebut mengklaim bahwa dia telah mencoba untuk mendekati IBM dan membagikan detail kelemahan keamanan di dalam peralatan virtual keamanan Data Risk Manager IBM, tetapi IBM menolak untuk mengakuinya dan akibatnya, tampaknya membiarkannya tidak ditambal.
IBM Menolak Untuk Menerima Laporan Kerentanan Keamanan Zero-Day?
Manajer Risiko Data IBM adalah produk perusahaan yang menyediakan penemuan dan klasifikasi data. Platform ini mencakup analitik terperinci tentang risiko bisnis yang didasarkan pada aset informasi di dalam organisasi. Tidak perlu ditambahkan, platform memiliki akses ke informasi penting dan sensitif tentang bisnis yang menggunakan hal yang sama. Jika dikompromikan, seluruh platform dapat diubah menjadi budak yang dapat menawarkan peretas akses mudah ke lebih banyak perangkat lunak dan basis data.
Pedro Ribeiro dari Agile Information Security di Inggris menyelidiki IBM Data Risk Manager versi 2.0.3 dan dilaporkan menemukan total empat kerentanan. Setelah mengonfirmasi kekurangannya, Ribeiro mencoba mengungkapkannya kepada IBM melalui CERT / CC di Universitas Carnegie Mellon. Secara kebetulan, IBM mengoperasikan platform HackerOne, yang pada dasarnya merupakan saluran resmi untuk melaporkan kelemahan keamanan tersebut. Namun, Ribeiro bukan pengguna HackerOne dan tampaknya tidak ingin bergabung, jadi dia mencoba melalui CERT / CC. Anehnya, IBM menolak untuk mengakui kekurangan dengan pesan berikut:
“Kami telah menilai laporan ini dan menutupnya sebagai di luar cakupan program pengungkapan kerentanan karena produk ini hanya untuk dukungan "ditingkatkan" yang dibayar oleh pelanggan kami. Ini diuraikan dalam kebijakan kami https://hackerone.com/ibm. Agar memenuhi syarat untuk berpartisipasi dalam program ini, Anda tidak boleh terikat kontrak untuk melakukan pengujian keamanan untuk IBM Corporation, atau anak perusahaan IBM, atau klien IBM dalam waktu 6 bulan sebelum mengirimkan laporan.”
Setelah laporan kerentanan gratis dilaporkan ditolak, peneliti menerbitkan rincian di GitHub tentang empat masalah tersebut. Peneliti meyakinkan alasan penerbitan laporan tersebut adalah untuk membuat perusahaan yang menggunakan IBM IDRM menyadari kelemahan keamanan dan memungkinkan mereka untuk melakukan mitigasi untuk mencegah serangan apa pun.
Apa Kerentanan Keamanan 0-Hari Di IBM IDRM?
Dari keempatnya, tiga kelemahan keamanan dapat digunakan bersama untuk mendapatkan hak akses root pada produk. Cacat tersebut termasuk bypass otentikasi, cacat injeksi perintah, dan kata sandi default yang tidak aman.
Bypass otentikasi memungkinkan penyerang untuk menyalahgunakan masalah dengan API untuk mendapatkan alat Pengelola Risiko Data untuk menerima ID sesi dan nama pengguna sewenang-wenang dan kemudian mengirim perintah terpisah untuk menghasilkan kata sandi baru untuk nama pengguna tersebut. Eksploitasi serangan yang berhasil pada dasarnya menghasilkan akses ke konsol administrasi web. Ini berarti otentikasi platform atau sistem akses resmi sepenuhnya dilewati dan penyerang memiliki akses administratif penuh ke IDRM.
https://twitter.com/sudoWright/status/1252641787216375818
Dengan akses admin, penyerang dapat menggunakan kerentanan injeksi perintah untuk mengupload file arbitrer. Ketika kelemahan ketiga digabungkan dengan dua kerentanan pertama, ini memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mencapai Eksekusi Kode Jarak Jauh (RCE) sebagai root pada perangkat virtual IDRM, yang mengarah ke kompromi sistem lengkap. Meringkas empat Kerentanan Keamanan Zero-Day di IBM IDRM:
- Sebuah bypass dari mekanisme otentikasi IDRM
- Titik injeksi perintah di salah satu API IDRM yang memungkinkan serangan menjalankan perintahnya sendiri di aplikasi
- Kombinasi nama pengguna dan kata sandi yang di-hardcode daria3user / idrm
- Kerentanan dalam API IDRM yang memungkinkan peretas jarak jauh mengunduh file dari perangkat IDRM
Jika itu tidak cukup merusak, peneliti telah berjanji untuk mengungkapkan detail tentang dua modul Metasploit yang mengabaikan autentikasi dan mengeksploitasi eksekusi kode jarak jauh dan kekurangan unduhan file arbitrer.
Penting untuk dicatat bahwa meskipun terdapat kerentanan keamanan di dalam IBM IDRM, kemungkinannya berhasil mengeksploitasi yang sama agak tipis. Ini terutama karena perusahaan yang menerapkan IBM IDRM di sistem mereka biasanya mencegah akses melalui internet. Namun, jika perangkat IDRM diekspos secara online, serangan dapat dilakukan dari jarak jauh. Selain itu, penyerang yang memiliki akses ke workstation di jaringan internal perusahaan berpotensi mengambil alih peralatan IDRM. Setelah berhasil disusupi, penyerang dapat dengan mudah mengekstrak kredensial untuk sistem lain. Ini berpotensi memberi penyerang kemampuan untuk berpindah secara lateral ke sistem lain di jaringan perusahaan.