Главный исследователь Agile Information Security и известный багхантер, регулярно участвующий в таких хакерских состязаниях, как Pwn2Own, Педро Рибейро опубликовал на GitHub детали четырех уязвимостей нулевого дня, касающихся корпоративного инструмента безопасности IBM Data Risk Manager (IDRM).

I am disclosing four 0day for IBM Data Risk Manager, an ENTERPRISE SECURITY APPLIANCE@IBMSecurity refused to accept @certcc’s disclosure and told them to fleck off!

Advisory and exploits here, have fun: https://t.co/60a7XRZt4C

— Pedro Ribeiro (@pedrib1337) April 21, 2020

Сама компания IBM описывает этот продукт, как «центр управления рисками утечки данных, который позволяет руководителям и любым другим сотрудникам без специальной подготовки выявить, проанализировать и визуализировать риски утечки данных, а также предпринять необходимые действия для защиты бизнеса».

Рибейро подчеркивает, что IDRM — это корпоративный инструмент, который имеет дело с крайне конфиденциальной информацией. То есть компрометация такого продукта может привести к полной компрометации всей компании, поскольку у IDRM есть учетные данные для доступа к другим инструментам безопасности, не говоря о том, что IDRM содержит информацию о критических уязвимостях.

Рибейро пишет, что обнаружил четыре ошибки в IDRM и активно сотрудничал со специалистами CERT/CC, стремясь донести информацию о багах до инженеров IBM через официальную программу раскрытия уязвимостей. Однако, невзирая на всю серьезность обнаруженных ошибок, IBM отказалась принимать отчет специалиста, прислав странный ответ:

«Мы оценили этот отчет и закрываем его как выходящий за рамки нашей программы раскрытия уязвимостей, поскольку данный продукт предназначен только для «расширенной» поддержки, оплачиваемой нашими клиентами. Это указано в правилах https://hackerone.com/ibm. Чтобы получить право участвовать в этой программе, вы не должны быть связаны контрактом на выполнение тестирования безопасности для корпорации IBM, ее дочерних компаний или клиентов IBM на протяжении шести месяцев до подачи отчета».

Рибейро признается, что до сих пор не понял, что означает этот ответ. Исследователь задается множеством вопросов: почему IBM отказалась принять его бесплатный отчет об уязвимостях, составленный по всем правилам? Означает ли это, что в данном случае компания принимает отчеты только от своих клиентов? Или, быть может, этот продукт не поддерживается? Но в таком случае, почему его все еще продают новым клиентам, и почему компания ведет себя столь безответственно?

«Это просто невероятный ответ от IBM, многомиллиардной компании, которая продает корпоративные продукты безопасности и консультирует по вопросам безопасности огромные корпорации по всему миру», — пишет Рибейро.

Так и не добившись ответа и реакции от IBM, исследователь опубликовал информацию о проблемах в открытом доступе, чтобы компании, использующие IDRM, могли принять меры для предотвращения атак. Все найденные экспертом уязвимости могут использоваться удаленно и заключаются в следующем:

* обход механизма аутентификации IDRM;

* возможность инъекций команд в одном из API IDRM, что позволяет атакующим запускать собственные команды в приложении;

* жестко закодированные учетные данные: a3user/idrm;

* уязвимость в API IDRM, которая позволяет удаленным злоумышленникам скачивать любые файлы.

Помимо детального описания проблем были опубликованы и два модуля Metasploit, которые эксплуатируют обход аутентификации и обеспечивают удаленное выполнение кода, а также загрузку произвольных файлов.

Лишь после того как информация о четырех 0-day вчера попала на страницы СМИ, представители IBM наконец обратили внимание на Рибейро и найденные им проблемы. В компании сообщили, что произошла ошибка: исследователь не должен был получить столь странный ответ, а обнаруженные им уязвимости не должны были остаться без внимания.

Теперь компания сообщает, что уязвимость, связанная с инъекциями команд, угрожавшая IBM Data Risk Manager версий 2.0.1, 2.0.2 и 2.0.3, была устранена в версии 2.0.4. Также эта версия решила проблему загрузки произвольных файлов, представлявшую угрозу для версий 2.0.2 и 2.0.3.

Жестко закодированные учетные данные, активные «из коробки», по-прежнему присутствуют в IDRM, но компания напоминает, что их нужно сбросить и сменить при первой установке, согласно руководству.

Также сообщается, что инженеры компании изучают проблему, связанную с обходом аутентификации в IDRM. Специалисты обещают выпустить патчи и обновить рекомендации по снижению рисков в самом скором времени.

Рибейро прокомментировал запоздалую реакцию компании журналистам издания The Register:

«Весьма грустно, что мне приходится публично раскрывать информацию о 0-day и публично стыдить их, чтобы заставить исправить критические уязвимости, тогда как они рекламируют себя как элитную компанию, предоставляющую услуги безопасности.

Как я уже писал в своем отчете, я лишь хотел сообщить им [о проблемах] и не просил взамен ничего, кроме упоминания об устранении уязвимости. И к слову об этом: я считаю весьма печальным и тот факт, что IBM, компания с многомиллиардным доходом, не способна наскрести несколько долларов, чтобы платить ИБ-исследователям, хотя она представлена на HackerOne».

Последний упрек эксперта связан с тем, что программа вознаграждения за уязвимости IBM не подразумевает никаких денежных вознаграждений, лишь почет и благодарность.