因為提交漏洞被IBM所拒,研究人員Pedro Ribeiro直接公布IBM企業安全工具IBM Data Risk Manager的零時差漏洞。IBM則向媒體表示,這是因程序錯誤而造成對研究人員的不當回應,他們正著手打造緩解方法,並發布安全通知。

來自Agile Information Security的研究人員Pedro Ribeiro,因為提交漏洞被IBM所拒,在本周透過GitHub公布了IBM企業安全工具IBM Data Risk Manager(IDRM)的零時差漏洞。

IDRM為IBM所開發的企業安全軟體,它能一次集結並檢視來自各種漏洞掃描工具或風險管理工具的數據,以方便企業展開調查或分析。Ribeiro所測試的版本為IDRM 2.0.3。

Ribeiro發現了IDRM的4個安全漏洞,包括不安全的預設密碼、可繞過身分認證、執行命令注射,以及任意下載檔案等。在發現漏洞之後,Ribeiro藉由電腦網路危機處理暨協調中心(CERT/CC)來通報IBM,但IBM的回應令Ribeiro傻眼。

根據Ribeiro所貼出的IBM回應內容,IBM聲稱自己已評估過該報告,也已將它結案,因為相關漏洞並不在該公司漏洞揭露專案的範圍內,而且此一產品只是IBM替付費客戶所提供的強化支援。

Ribeiro則批評IBM身為一家身價達數十億美元的國際企業,不僅銷售企業安全產品,還提供安全顧問,卻拒絕接受一個免費且高品質的漏洞報告。

Ribeiro說,他並未向IBM要求獎勵,對此也不抱任何期待,他只是想要IBM修補它們;更何況,IBM與HackerOne合作的抓漏專案,並未提供獎金,而只是賦予這些協助找出漏洞的研究人員「榮譽」。

Ribeiro除了公布漏洞細節外,也描述了如何串連前三個漏洞,以取得最高權限並執行遠端程式攻擊,並打算釋出相關漏洞的攻擊程式與模組。他說,IDRM為一處理機密資訊的安全軟體,駭進IDRM可能危害整個企業,因為它不僅存放可存取各種安全工具的憑證,也含有企業IT系統的漏洞資訊。

IBM則向BleepingComputer表示,這是因程序錯誤而造成對研究人員的不當回應,該公司正著手打造緩解方法,並發布安全通知。根據IBM的說法,預設密碼是已知的配置,而不管是檔案下載或命令注射漏洞,都已在IDRM 2.0.4修補,目前正在調查身分認證繞過漏洞。


Advertisement

更多 iThome相關內容