Ngày 21/4, một nhà nghiên cứu an ninh mạng đã công khai các chi tiết và PoC của 4 lỗ hổng 0-day chưa được vá ảnh hưởng đến một phần mềm bảo mật doanh nghiệp do IBM cung cấp. Trước đó, công ty này đã từ chối tiết lộ các lỗ hổng.
Phân mềm bị ảnh hưởng là Trình quản lý rủi ro dữ liệu của IBM (IBM Data Risk Manager – IDRM). Đây là một phần mềm được thiết kế để phân tích và xác định các rủi ro liên quan đến những thông tin kinh doanh quan trọng của các tổ chức.
Theo nhà nghiên cứu Pedro Ribeiro đến từ công ty bảo mật thông tin Agile, IDRM có ba lỗ hổng rất nghiêm trọng và một lỗi nghiêm trọng. Chúng có thể bị khai thác bởi kẻ tấn công chưa được xác thực. Và khi bị khai thác chung có thể dẫn đến chạy mã từ xa với quyền root. 4 lỗi của IDRM lần lượt là:
- Lỗi Bỏ qua xác thực (Authentication Bypass)
- Lỗi Chèn lệnh (Command Injection)
- Lỗi Mật khẩu mặc định không an toàn (Insecure Default Password)
- Lỗi Tải xuống tệp tùy ý (Arbitrary File Download)
Ribeiro đã chạy thử thành công các lỗi trên với IDRM tử bản 2.0.1 đến 2.0.3. Mặc dù đây không phải những phiên bản mới nhất nhưng vẫn có khả năng lỗi vẫn còn trên bản từ 2.0.4 đến 2.0.6 mới nhất vì “không có thông tin về việc sửa lỗi trong bất kỳ nhật ký thay đổi nào”.
Ribeiro nói “IDRM là một sản phẩm bảo mật doanh nghiệp xử lý những thông tin rất nhạy cảm. Việc tấn công phần mềm này có thể dẫn đến mối nguy hại toàn diện cho công ty. Từ phần mềm này có thể truy cập các công cụ bảo mật khác. Hơn nữa, nó chứa thông tin về các lỗi nghiêm trọng có thể ảnh hưởng đến công ty”.
Các lỗ hổng nghiêm trọng trong IDRM
Lỗ hổng Bỏ qua xác thực khai thác lỗi logic trong tính năng session ID (mã định danh của phiên làm việc) để đặt lại mật khẩu cho bất kỳ tài khoản nào hiện có, kể cả quản trị viên.
Lỗ hổng Chèn lệnh nằm trong cách thức IDRM cho phép người dùng quét mạng qua các tập lệnh Nmap. Các tập lệnh này thường được những kẻ tấn công đính kèm các các lệnh độc hại khác.
Theo tiết lộ, để SSH (một giao thức thiết lập kết nối mạng bảo mật) và chạy các lệnh sudo, thiết bị ảo IDRM (IDRM virtual appliance) cũng có người dùng quản trị tích hợp với tên người dùng cùng mật khẩu mặc định là “a3user” và “idrm”. Điều này cho phép kẻ tấn công từ xa kiểm soát hoàn toàn các hệ thống mục tiêu.
Lỗ hổng cuối cùng nằm trong điểm cuối (endpoint) API cho phép người dùng bình thường tải xuống tệp nhật ký từ hệ thống. Tuy nhiên, một trong những biến số của endpoint bị lỗi truyền tải thư mục, có thể cho phép người dùng lạ tải xuống bất kỳ tệp nào từ hệ thống.
Bên cạnh các thông tin về kỹ thuật, nhà nghiên cứu cũng đã phát hành hai mô-đun Metasploit để xử lý Lỗi Bỏ qua xác thực, Chèn lệnh từ xa và các sự cố tải tệp tùy ý.
Ribeiro tuyên bố đã báo cáo vấn đề này với IBM thông qua CERT/CC tuy nhiên công ty đã từ chối chấp nhận báo cáo về lỗ hổng.
IBM trả lời “Chúng tôi đánh giá báo cáo này nằm ngoài phạm vi chương trình tiết lộ lỗ hổng của chúng tôi vì sản phẩm này là chỉ dành cho hỗ trợ “nâng cao” được khách hàng của chúng tôi trả tiền”.
Ribeiro đáp lại “Tôi không đòi hỏi hay mong chờ gì tiền thưởng của IBM vì tôi không có tài khoản HackerOne và tôi cũng không đồng ý với các điều khoản tiết lộ của HackerOne hay IBM. Tôi chỉ muốn báo lại những lỗ hổng cho IBM để họ sửa chúng”.
Cập nhật
Người phát ngôn của IBM nói rằng “có một lỗi quá trình giải quyết dẫn đến những lời nói không đúng với nhà nghiên cứu đã báo cáo lỗ hổng với IBM. Chúng tôi đã nghiên cứu các bước giảm thiểu rủi ro và chúng sẽ sớm được đưa ra trong bài đang về bảo mật sắp tới”.
Thêm bình luận