Vier 0-day-Schwachstellen in IBM Data Risk Manager

Publiziert am 22. April 2020 von Günter Born

Sicherheitsforscher haben gerade vier nicht gepatchte Schwachstellen im IBM Data Risk Manager offen gelegt. Die Schwachstellen wurden an IBM gemeldet, die aber diese Meldung wegen fehlender formaler Anforderungen abwiesen. Drei Schwachstellen gelten als kritisch.

Anzeige

Es hat schon etwas von einem Slap-Stick: Der IBM Data Risk Manager soll eigentlich Unternehmensnetzwerke schützen und Administratoren Daten von verschiedenen Sicherheitslösungen, die im Netzwerk laufen, liefern. Die Art wie die 0-day-Schwachstellen jetzt aber öffentlich gemacht wurden, hat schon was.

Pedro Ribeiro hat das gestern in obigem Tweet öffentlich gemacht. Dort weist er darauf hin, dass er die Sicherheitslücken im IBM Data Risk Manager veröffentlicht, weil IBM-Security ihn mit seiner Meldungen zu den Schwachstellen ziemlich abblitzen ließ. Die Begründung:

we have assessed this report and closed as being out of scope for our vulnerability disclosure program since this product is only for "enhanced" support paid for by our customers. This is outlined in our policy https://hackerone.com/ibm. To be eligible to participate in this program, you must not be under contract to perform security testing for IBM Corporation, or an IBM subsidiary, or IBM client within 6 months prior to submitting a report.

muss man sich auf der Zunge zergehen lassen. Die Meldung wurde geschlossen, weil das Produkt nur für zahlende Kunden bereit steht.

Anzeige

Bei der Analyse der virtuellen IBM Data Risk Manager-Linux-Appliance wurde festgestellt, dass diese vier Schwachstellen enthielt, drei davon wurden kritisch und eine als mit hohem Risiko behaftet eingestuft. Die vier Schwachstellen:

  • Umgehung der Authentifizierung
  • Befehlsinjektion
  • Unsicheres Standardpasswort
  • Beliebiges Herunterladen von Dateien

Auf GitHub beschreiben die Sicherheitsforscher die vier Schwachstellen und die Schritte, die zur Verkettung der ersten drei erforderlich sind. Damit lässt sich eine nicht authentifizierte Remotecodeausführung als Root erreichen. Die Forscher veröffentlichen zudem zwei Metasploit-Module, die die Authentifizierung umgehen, eine Remote Code-Ausführung ermöglichen und das Herunterladen beliebiger Dateien ausnutzen. Quasi das volle Programm. Für IBM dürfte der Schuss jetzt nach hinten losgegangen sein. Bei The Hacker News, ZDNet, Bleeping Computer oder heise finden sich ebenfalls Artikel zum Thema. Irgend jemand von euch, der den IBM Data Risk Manager bis zur Version 2.0.6 einsetzt?

Anzeige
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.