IBM DataRisk Manager |多个安全漏洞通告

发布时间 2020-04-23

0x00 漏洞概述


产品

CVE ID

类 型

漏洞等级

远程利用

影响范围

IBM Data Risk Manager

暂无

AB

严重

IBM Data Risk Manager 2.0.1 to 2.0.3

IBM Data Risk Manager 2.0.4 to 2.0.6 可能受影响

暂无

CI

严重

暂无

IDP

严重

暂无

AFD

高危


0x01 漏洞详情



Agile信息安全企业的研究人员Pedro Ribeiro 4月21日在GitHub上公开披露了四个IBM 0day漏洞。这些漏洞影响IBM DataRisk Manager(IDRM),IDRM是一款企业安全工具,聚合来自漏洞扫描工具和其他风险管理工具的信息,以便管理员调查安全问题。

在分析IDRM Linux虚拟设备时,Ribeiro发现了4个0day:身份认证错误漏洞、命令注入漏洞、不安全的默认密码漏洞以及任意文件下载漏洞。这些漏洞可以单独使用也可以组合使用,组合使用前三个漏洞可以使攻击者以root权限远程实行代码,组合使用第一个和第四个漏洞可以使未授权的攻击者下载任意文件。

漏洞的披露者Ribeiro表示,IDRM是处理敏感信息的企业安全产品,如果其遭到攻击会导致企业利益严重受损,因此在IBM拒绝接受漏洞报告后选择将其发布出来。目前,IBM企业修复了IDRM2.0.1及更高版本中的任意文件下载漏洞和命令注入漏洞,并且正在调查身份验证绕过漏洞。

(1)身份认证错误漏洞源于IDRM在/ albatross / saml / idpSelection有一个API将攻击者提供的ID与系统上的有效用户相关联。未经身份验证的攻击者可利用该漏洞重置任何已有账户密码,包括管理员密码。

(2)命令注入漏洞源于IDRM的/albatross/restAPI/v2/nmap/run/scan中的某个API允许用户使用nmap脚本实行网络扫描,如果该脚本文件由攻击者上传,那么就可能被附加恶意命令。

(3)默认密码漏洞产生的原因在于IDRM虚拟设备中的管理用户是“a3user”,默认密码为“idrm”。该用户被允许通过SSH登录和运行sudo命令。虽然IDRM强制web接口的管理员用户(“admin”)在首次登录时修改密码,但是却没有要求“a3user”用户修改密码。

(4)任意文件下载漏洞源于/albatross/eurekaservice/fetchLogFiles中的某个API允许经过身份验证的用户从系统下载日志文件。但是,logFileNameList参数包含一个目录遍历漏洞,攻击者可利用该漏洞从系统下载任意文件。


0x02 处置建议


命令注入漏洞和任意文件下载漏洞已修复,将IDRM升级到2.0.4版本即可。下载地址:https://www.ibm.com/software/passportadvantage/pacustomers.html;

默认密码漏洞,IBM建议根据发布的安装指南在初次安装时重置。参考链接:https://www.ibm.com/support/knowledgecenter/en/SSJQ6V_2.0.6/com.ibm.idrm.doc/install/tsk/tsk_installguide_idrm_configuration.html;

身份认证错误漏洞暂时没有修复,请及时关注厂商信息:https://www.ibm.com/support/pages/node/6195705。


0x03 相关资讯


https://www.zdnet.com/article/security-researcher-discloses-four-ibm-zero-days-after-company-refused-to-patch/#ftag=RSSbaffb68


0x04 参考链接


https://github.com/pedrib/PoC/blob/master/advisories/IBM/ibm_drm/ibm_drm_rce.md


0x05 时间线


2020-04-21 GitHub公布漏洞

2020-04-23 VSRC发布漏洞通告