นักวิจัยเผย 4 ช่องโหว่ Zero-day ในผลิตภัณฑ์ IBM Data Risk Manager หลังถูกปฏิเสธการแพตช์

Pedro Ribeiro ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Agile Information Security ได้ออกมาเปิดเผยรายละเอียดของ 4 ช่องโหว่บนผลิตภัณฑ์ IBM Data Risk Manager หลังแจ้งต่อบริษัทแต่กลับไม่ได้รับความสนใจ

IBM Data Risk Manager (IDRM)เป็นเครื่องมือด้านความมั่นคงปลอดภัยระดับองค์กรที่รวบรวมข้อมูลจากเครื่องมือสแกนช่องโหว่และเครื่องมือประเมินความเสี่ยงนำมาให้ผู้ดูแลสืบสวนปัญหาด้านความมั่นคงปลอดภัย โดย Ribeiro ชี้ว่า “IDRM เป็นเครื่องมือที่มีข้อมูลละเอียดอ่อน การแทรกแซงผลิตภัณฑ์ได้อาจสร้างความเสียหายร้ายแรงให้กับองค์กร เพราะเครื่องมือมี Credentials เข้าถึงเครื่องมือด้านความมั่นคงปลอดภัยอื่นได้ด้วย นี่ยังไม่นับรวมเรื่องข้อมูลช่องโหว่นะ“

ประเด็นคือ Ribeiro ได้พบบั๊ก 4 รายการในผลิตภัณฑ์และร่วมมือกับ CERT/CC เพื่อแจ้งเตือน IBM แต่กลับได้ผลตอบรับที่ไม่น่าประทับใจนักว่าปฏิเสธการแพตช์ ด้วยเหตุนี้เองจึงเปิดเผยช่องโหว่ไว้บน GitHub มีรายละเอียดช่องโหว่ดังนี้

• ช่องโหว่ที่สามารถ Bypass กระบวนการพิสูจน์ตัวตนของ IDRM 
• IDRM API ที่ช่วยให้คนร้ายสามารถทำ Command Injection ได้
• ช่องโหว่จากการ Hardcoded Credentials ไปกับ a3user/idrm
• API ที่อนุญาตให้คนร้ายจากทางไกลสามารถเข้ามาดาวน์โหลดไฟล์จาก IDRM Appliance 

Ribeiro ยังเผยว่า “Advisory ได้สาธยายช่องโหว่ทั้ง 4 และขั้นตอนในการ Chain 3 ช่องโหว่เพื่อทำการโจมตีแบบ Remote Code Execution ในระดับ Root นอกจากนี้มีโมดูล Metasploit ที่สามารถลัดผ่านการพิสูจน์ตัวตนและทำ RCE ออกมาแล้วด้วย” ทั้งนี้ช่องโหว่ทั้งหมดสามารถถูกใช้งานได้ผ่านทางไกลหาก IDRM เปิดเผยออนไลน์หรือแฮ็กเกอร์ที่สามารถเข้าถึงเครือข่ายของ IDRM ในระดับท้องถิ่น 

ปัจจุบัน IBM ได้ออกมายอมรับในความผิดพลาดในกระบวนการประเมินรายงาน โดยออกการแก้ไขมาแล้วที่นี่ครับ

ที่มา :  https://www.zdnet.com/article/security-researcher-discloses-four-ibm-zero-days-after-company-refused-to-patch/