A IBM publicou ontem várias correções para falhas no seu aplicativo de segurança Verify Gateway, uma delas considerada bastante grave. Essa vulnerabilidade permitia que alguem conseguisse acesso remotamente a um sistema protegido pelas versões 1.0.0 e 1.0.1 do VG, por meio de ataque com “brute force”. Com uma pontuação de gravidade CVSS de 7.5, essa vulnerabilidade era causada por um mecanismo de bloqueio de conta considerado “inadequado” que não impedia sucessivas tentativas de acesso. Em ataques automatizados de brute force, os atacantes martelam o sistema com vários nomes de usuário e senhas até encontrarem as combinações corretas. Para impedir que essas formas de ataque sejam bem-sucedidas, o software geralmente inclui restrições de tentativas de login.
O IVG é um software projetado para proteger os sistemas corporativos por meio de recursos de autenticação multifatorial e serviços de provedor de credenciais pré-criados.Ele suporta uma variedade de sistemas operacionais e plataformas, incluindo Windows, RedHat, Centos, Ubuntu, Debian, AIX e SuSE.
Veja isso
Ferramentas da IBM já processam dados criptografados
Mais ferramentas implicam menos eficácia diz estudo da IBM
A versão corrigida do software – v1.0.1 IVG para Radius e AIX PAM – bem como a v1.0.2 do IVG para Linux PAM e IVG para Windows Login agora contam com um mecanismo de limitação.
A IBM também publicou um alerta de segurança para o CVE-2020-4369, uma vulnerabilidade nos componentes de gerenciamento de acesso privilegiado (PAM) do gateway de autenticação. Essa vulnerabilidade está na estratégia de gerenciamento pela qual o IVG (AIX PAM e Linux PAM) administra a criptografia da propriedade no lado do cliente. Embora o PAM permita a criptografia através do arquivo pam_ibm_auth.json, isso não é ativado por padrão e, portanto, os usuários precisam se lembrar de adicionar comandos de ofuscação manualmente.
Como isso dependia dos clientes, foi considerado um risco potencial de segurança que não precisa existir e que pode levar ao “armazenamento [de] informações altamente confidenciais em texto não criptografado que podem ser obtidas por um usuário”, diz a empresa. Agora, a IBM incluiu a criptografia no lado do cliente por padrão no AIX PAM e Linux PAM.
Com agências internacionais