انتشار شده در تاریخ 1399/02/06 - 18:02

چهار آسیب‌پذیری روز-صفر در محصول امنیتی IBM

جزییات چهار آسیب‌پذیری روز-صفر در یک محصول امنیتی IBM، پس‌ازآنکه این شرکت از ترمیم آن‌ها سرباز زد به‌صورت عمومی منتشرشده است

به گزارش کارگروه امنیت سایبربان، به نقل از پایگاه اینترنتی ZDNet، باگ‌های امنیتی مذکور مربوط به محصول IBM Data Risk Manager – به‌اختصار IDRM – است که ابزاری برای انجام بررسی و مدیریت ریسک‌های امنیتی است. داده‌های IDRM از محصولات پویش آسیب‌پذیری و سایر ابزارهای مدیریت ریسک تأمین می‌شود.

محقق کاشف باگ‌های مذکور با این استدلال که IDRM ضمن پردازش داده‌های بسیار حساس، اطلاعات اصالت‌سنجی مود نیاز برای دسترسی به ابزارهای امنیتی دیگر و از آن مهم‌تر فهرست آسیب‌پذیری‌های حیاتی موجود را نیز در اختیار دارد هک چنین محصولی را منجر به در معرض خطر قرار گرفتن کل سازمان می‌داند.

این محقق بانام Pedro Ribeiro پس از یافتن چهار ضعف امنیتی IDRM، با مشارکت مرکز CERT/CC موضوع را از طریق کانال رسمی اعلام آسیب‌پذیری IBM به این شرکت خبر داده بود.

IBM در پاسخی غیرمنتظره موارد مطرح‌شده را خارج از دامنه کار خود دانسته و با توضیحاتی بی‌ارتباط و نامفهوم همچون بیان این‌که محصول فقط برای پشتیبانی پیشرفته بوده و توسط مشتریان این شرکت پرداخت می‌شود از بستن گزارش اعلامی خبر داده بود. همچنین در پاسخ IBM اشاره‌شده بود که برای مشارکت در این برنامه (افشای آسیب‌پذیری)، گزارش دهنده نباید در عقد قراردادی باشد که او را موظف به ارزیابی امنیتی شرکت IBM، زیرمجموعه IBM یا مشتری IBM طی ۶ ماه قبل از ارسال گزارش کرده باشد.

Ribeiro پاسخ این شرکت چند میلیارد دلاری را که محصولات امنیتی آن به سازمان‌های عظیمی در سرتاسر جهان فروخته می‌شود ناباورانه توصیف کرده است.

در پی رد گزارش از سوی IBM، این محقق جزییات هر چهار باگ را باهدف آنچه که او مقاوم‌سازی محصول توسط سازمان‌های استفاده‌کننده خوانده در قالب توصیه‌نامه در مسیر زیر به اشتراک گذاشته است:

https://github.com/pedrib/PoC/blob/master/advisories/IBM/ibm_drm/ibm_drm_rce.md

چهار آسیب‌پذیری گزارش‌شده به شرح زیر است:

عبور از سد اصالت‌سنجی IDRM.
نقطه تزریق فرمان دریکی از توابع API استفاده‌شده در IDRM که مهاجم را قادر به اجرای فرمان‌ها موردنظر خود در برنامه می‌کند.
نام کاربری و رمز عبور a۳user/idrm که در کد محصول لحاظ شده است.
آسیب‌پذیری دریکی از توابع API مورداستفاده در IDRM که مهاجم را قادر به دریافت فایل‌ها از IDRM می‌کند.

در توصیه‌نامه ضمن بررسی هر چهار آسیب‌پذیری به اقدامات لازم برای محدود ساختن امکان بهره‌جویی (Exploit) از سه مورد نخست در اجرای کد به‌صورت از راه دور پرداخته‌شده است.

علاوه بر آن، ماژول‌های Metasploit این آسیب‌پذیری‌ها که امکان عبور از سد اصالت‌سنجی و اجرای کد به‌صورت از راه دور و دریافت فایل دودویی (Binary) را فراهم می‌کنند به‌صورت عمومی در لینک‌های زیر در دسترس قرار گفته‌اند:

https://github.com/rapid۷/metasploit-framework/pull/۱۳۳۰۰

https://github.com/rapid۷/metasploit-framework/pull/۱۳۳۰۱

Ribeiro هر چهار باگ را به‌صورت از راه دور قابل بهره‌جویی می‌داند. در این صورت چنانچه IDRM به‌صورت برخط در معرض اینترنت قرار داشته باشد حمله از هرکجا قابل‌اجرا خواهد بود. بااین‌حال این محصولات در حالت عادی از طریق اینترنت قابل‌دسترس نیستند که این خود از ریسک آن‌ها می‌کاهد.

درعین‌حال حتی اگر IDRM برخط هم نباشد مهاجمی که به یکی از ایستگاه‌های کاری سازمان در شبکه داخلی دسترسی دارد به‌صورت بالقوه قادر به بهره‌جویی از هر چهار آسیب‌پذیری خواهد بود.

با افشای این جزییات، IBM پاسخ ارسالی به Ribeiro را نتیجه یک خطای پردازشی خوانده و از در دستور کار قرار گرفتن تهیه اصلاحیه برای این آسیب‌پذیری‌ها خبر داده است. در همین رابطه این شرکت اقدام به انتشار مقاله فنی زیر کرده است:

https://www.ibm.com/support/pages/node/۶۱۹۵۷۰۵