Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

นักวิจัยเผย 4 ช่องโหว่ Zero-day ในผลิตภัณฑ์ IBM Data Risk Manager หลังถูกปฏิเสธการแพตช์

Pedro Ribeiro ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Agile Information Security ได้ออกมาเปิดเผยรายละเอียดของ 4 ช่องโหว่บนผลิตภัณฑ์ IBM Data Risk Manager หลังแจ้งต่อบริษัทแต่กลับไม่ได้รับความสนใจ

IBM Data Risk Manager (IDRM)เป็นเครื่องมือด้านความมั่นคงปลอดภัยระดับองค์กรที่รวบรวมข้อมูลจากเครื่องมือสแกนช่องโหว่และเครื่องมือประเมินความเสี่ยงนำมาให้ผู้ดูแลสืบสวนปัญหาด้านความมั่นคงปลอดภัย โดย Ribeiro ชี้ว่า “IDRM เป็นเครื่องมือที่มีข้อมูลละเอียดอ่อน การแทรกแซงผลิตภัณฑ์ได้อาจสร้างความเสียหายร้ายแรงให้กับองค์กร เพราะเครื่องมือมี Credentials เข้าถึงเครื่องมือด้านความมั่นคงปลอดภัยอื่นได้ด้วย นี่ยังไม่นับรวมเรื่องข้อมูลช่องโหว่นะ

ประเด็นคือ Ribeiro ได้พบบั๊ก 4 รายการในผลิตภัณฑ์และร่วมมือกับ CERT/CC เพื่อแจ้งเตือน IBM แต่กลับได้ผลตอบรับที่ไม่น่าประทับใจนักว่าปฏิเสธการแพตช์ ด้วยเหตุนี้เองจึงเปิดเผยช่องโหว่ไว้บน GitHub มีรายละเอียดช่องโหว่ดังนี้

  • ช่องโหว่ที่สามารถ Bypass กระบวนการพิสูจน์ตัวตนของ IDRM 
  • IDRM API ที่ช่วยให้คนร้ายสามารถทำ Command Injection ได้
  • ช่องโหว่จากการ Hardcoded Credentials ไปกับ a3user/idrm
  • API ที่อนุญาตให้คนร้ายจากทางไกลสามารถเข้ามาดาวน์โหลดไฟล์จาก IDRM Appliance 

Ribeiro ยังเผยว่า “Advisory ได้สาธยายช่องโหว่ทั้ง 4 และขั้นตอนในการ Chain 3 ช่องโหว่เพื่อทำการโจมตีแบบ Remote Code Execution ในระดับ Root นอกจากนี้มีโมดูล Metasploit ที่สามารถลัดผ่านการพิสูจน์ตัวตนและทำ RCE ออกมาแล้วด้วย” ทั้งนี้ช่องโหว่ทั้งหมดสามารถถูกใช้งานได้ผ่านทางไกลหาก IDRM เปิดเผยออนไลน์หรือแฮ็กเกอร์ที่สามารถเข้าถึงเครือข่ายของ IDRM ในระดับท้องถิ่น 

ปัจจุบัน IBM ได้ออกมายอมรับในความผิดพลาดในกระบวนการประเมินรายงาน โดยออกการแก้ไขมาแล้วที่นี่ครับ

ที่มา :  https://www.zdnet.com/article/security-researcher-discloses-four-ibm-zero-days-after-company-refused-to-patch/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Citrix Webinar: รู้จักกับ Zero Trust Model แนวทางการเสริม Security ป้องกันภัยคุกคามสมัยใหม่ที่ผู้ดูแลระบบ IT ต้องรู้

TechTalkThai ขอเรียนเชิญ CTO, CISO, CIO, IT Manager, Security Engineer, Network Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง Citrix Webinar Series Back To Office: Ensuring a Flexible & Secure Workspace [Episode 3] ในหัวข้อเรื่อง "รู้จักกับ Zero Trust Model แนวทางการเสริม Security ป้องกันภัยคุกคามสมัยใหม่ที่ผู้ดูแลระบบ IT ต้องรู้" เพื่อทำความรู้จักกับ Zero Trust Model ซึ่งเป็นแนวทางในการรักษาความมั่นคงปลอดภัยให้กับระบบ IT ที่กำลังได้รับความนิยมในธุรกิจองค์กรและระบบ Application สมัยใหม่ พร้อมวิธีการนำมาปรับใช้จริงในระบบ IT ในวันอังคารที่ 6 ตุลาคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Oracle Exadata Cloud at Customer – On-premises Cloud ที่ดีที่สุดสำหรับ Oracle Database และ AI/ML Workload

ระบบฐานข้อมูลยังคงเป็นหัวใจสำคัญของการดำเนินธุรกิจ โดยเฉพาะอย่างยิ่งในยุคดิจิทัลที่ข้อมูลถูกเปรียบเปรยว่าเป็น “แหล่งน้ำมันสมัยใหม่” หลายองค์กรเริ่มจัดเก็บข้อมูลหลากหลายรูปแบบนอกจาก Relational Data มากขึ้น เพื่อเพิ่มความสะดวกในการประมวลผลข้อมูล เมื่อฐานข้อมูลมีหลากหลายรูปแบบ ย่อมต้องการผู้ดูแลที่มีทักษะ ทั้งยังมีเรื่องอธิปไตยของข้อมูล Oracle จึงนำเสนอแนวคิด “Converged Database” …