IBM DataRisk Manager |多个安全漏洞通告
发布时间 2020-04-230x00 漏洞概述
产品 |
CVE ID |
类 型 |
漏洞等级 |
远程利用 |
影响范围 |
IBM Data Risk Manager |
暂无 |
AB |
严重 |
是 |
IBM Data Risk Manager 2.0.1 to 2.0.3 IBM Data Risk Manager 2.0.4 to 2.0.6 可能受影响 |
暂无 |
CI |
严重 |
是 |
||
暂无 |
IDP |
严重 |
是 |
||
暂无 |
AFD |
高危 |
是 |
0x01 漏洞详情
Agile信息安全公司的研究人员Pedro Ribeiro 4月21日在GitHub上公开披露了四个IBM 0day漏洞。这些漏洞影响IBM DataRisk Manager(IDRM),IDRM是一款企业安全工具,聚合来自漏洞扫描工具和其他风险管理工具的信息,以便管理员调查安全问题。
在分析IDRM Linux虚拟设备时,Ribeiro发现了4个0day:身份认证错误漏洞、命令注入漏洞、不安全的默认密码漏洞以及任意文件下载漏洞。这些漏洞可以单独使用也可以组合使用,组合使用前三个漏洞可以使攻击者以root权限远程执行代码,组合使用第一个和第四个漏洞可以使未授权的攻击者下载任意文件。
漏洞的披露者Ribeiro表示,IDRM是处理敏感信息的企业安全产品,如果其遭到攻击会导致公司利益严重受损,因此在IBM拒绝接受漏洞报告后选择将其发布出来。目前,IBM公司修复了IDRM2.0.1及更高版本中的任意文件下载漏洞和命令注入漏洞,并且正在调查身份验证绕过漏洞。
(1)身份认证错误漏洞源于IDRM在/ albatross / saml / idpSelection有一个API将攻击者提供的ID与系统上的有效用户相关联。未经身份验证的攻击者可利用该漏洞重置任何已有账户密码,包括管理员密码。
(2)命令注入漏洞源于IDRM的/albatross/restAPI/v2/nmap/run/scan中的某个API允许用户使用nmap脚本执行网络扫描,如果该脚本文件由攻击者上传,那么就可能被附加恶意命令。
(3)默认密码漏洞产生的原因在于IDRM虚拟设备中的管理用户是“a3user”,默认密码为“idrm”。该用户被允许通过SSH登录和运行sudo命令。虽然IDRM强制web接口的管理员用户(“admin”)在首次登录时修改密码,但是却没有要求“a3user”用户修改密码。
(4)任意文件下载漏洞源于/albatross/eurekaservice/fetchLogFiles中的某个API允许经过身份验证的用户从系统下载日志文件。但是,logFileNameList参数包含一个目录遍历漏洞,攻击者可利用该漏洞从系统下载任意文件。
0x02 处置建议
命令注入漏洞和任意文件下载漏洞已修复,将IDRM升级到2.0.4版本即可。下载地址:https://www.ibm.com/software/passportadvantage/pacustomers.html;
默认密码漏洞,IBM建议根据发布的安装指南在初次安装时重置。参考链接:https://www.ibm.com/support/knowledgecenter/en/SSJQ6V_2.0.6/com.ibm.idrm.doc/install/tsk/tsk_installguide_idrm_configuration.html;
身份认证错误漏洞暂时没有修复,请及时关注厂商信息:https://www.ibm.com/support/pages/node/6195705。
0x03 相关新闻
https://www.zdnet.com/article/security-researcher-discloses-four-ibm-zero-days-after-company-refused-to-patch/#ftag=RSSbaffb68
0x04 参考链接
https://github.com/pedrib/PoC/blob/master/advisories/IBM/ibm_drm/ibm_drm_rce.md
0x05 时间线
2020-04-21 GitHub公布漏洞
2020-04-23 VSRC发布漏洞通告