Empresa não reconheceu as vulnerabilidades, pesquisador acha que não serão corrigidas e sugere que clientes desinstalem o produto
O pesquisador Pedro Ribeiro, fundador e diretor de pesquisas da empresa de cibersegurança Agile, sediada em Londres, publicou ontem a existência de quatro zero days no IBM Data Risk Manager (IDRM) – uma solução que, segundo anunciado pela IBM, é um centro de controle de riscos de dados, que ajuda a descobrir, analisar e visualizar riscos de negócios relacionados a dados. Uma análise do dispositivo virtual Linux IDRM constatou que ele contém quatro vulnerabilidades, sendo três de risco crítico e uma de alto risco:
- Bypass de autenticação
- Injeção de comando
- Senha padrão insegura
- Download de arquivo arbitrário
Ribeiro informou que no momento da divulgação essas vulnerabilidades são desconhecidas e estão portando em estado de ‘zero day’. Ele disse que foi feita uma tentativa de contato com o CERT/CC (o centro de coordenação mundial dos CERTs) para coordenar a divulgação com a IBM, mas a IBM se recusou a aceitar o relatório de vulnerabilidade e respondeu ao CERT/CC com a seguinte informação: “avaliamos este relatório e o encerramos, por estar fora do escopo de nosso programa de divulgação de vulnerabilidades, uma vez que este produto é somente para suporte “aprimorado”, pago por nossos clientes. Isso está descrito em nossa política https://hackerone.com/ibm. Para ser elegível a participar deste programa, você não deve estar sob contrato para realização de testes de segurança para a IBM Corporation, uma subsidiária da IBM ou um cliente IBM num prazo de seis meses antes de enviar um relatório”. Como supõe que a IBM não corrigirá essa vulnerabilidade, Ribeiro sugere a desinstalação do produto “para que não ponha em risco sua rede / empresa”.
Veja isso
IBM anuncia solução de segurança para multi cloud
IBM expande plataforma de segurança móvel
O pesquisador mostrou-se indignado com a resposta: “Eles se recusaram a aceitar um relatório de alta qualidade gratuito sobre a vulnerabilidade em um de seus produtos, enquanto colocam citações ridículas sobre ele em seu site.” O pesquisador acrescentou que não pediu e “nem esperava uma recompensa, pois não tenho uma conta HackerOne e não concordo com os termos de divulgação da HackerOne ou da IBM lá. Eu simplesmente queria divulgar esses dados à IBM com responsabilidade e deixar que consertassem”.
Pedro Ribeiro observa que “o IDRM é um produto de segurança corporativa que lida com informações muito confidenciais. A invasão de um dispositivo IDRM pode levar a um comprometimento total da empresa, pois armazena credenciais para acessar outras ferramentas de segurança, sem mencionar que contém informações sobre vulnerabilidades críticas que afetam a empresa”. Todos os detalhes das vulnerabilidades podem ser encontradas em seu repositório no GitHub.
Veja na página seguinte os vídeos da POC (prova de conceito)
