来自Agile Information Security的研究人员Pedro Ribeiro,因为提交漏洞被IBM所拒,在本周通过GitHub公布了IBM企业安全工具IBM Data Risk Manager(IDRM)的零时差漏洞。
IDRM为IBM所开发的企业安全软件,它能一次集结并查看来自各种漏洞扫描工具或风险管理工具的数据,以方便企业展开调查或分析。Ribeiro所测试的版本为IDRM 2.0.3。
Ribeiro发现了IDRM的4个安全漏洞,包括不安全的默认密码、可绕过身份认证、执行命令注射,以及任意下载文件等。在发现漏洞之后,Ribeiro借由计算机网络危机处理暨协调中心(CERT/CC)来通报IBM,但IBM的回应令Ribeiro傻眼。
根据Ribeiro所贴出的IBM回应内容,IBM声称自己已评估过该报告,也已将它结案,因为相关漏洞并不在该公司漏洞披露项目的范围内,而且该产品只是IBM替付费客户所提供的强化支持。
Ribeiro则批评IBM身为一家身价达数十亿美元的国际企业,不仅销售企业安全产品,还提供安全顾问,却拒绝接受一个免费且高品质的漏洞报告。
Ribeiro说,他并未向IBM要求奖励,对此也不抱任何期待,他只是想要IBM修补它们;更何况,IBM与HackerOne合作的漏洞挖掘项目,并未提供奖金,而只是赋给这些协助找出漏洞的研究人员“荣誉”。
Ribeiro除了公布漏洞细节外,也描述了如何串联前三个漏洞,以取得最高权限并执行远程程序攻击,并打算发布相关漏洞的攻击程序与模块。他说,IDRM为一处理机密信息的安全软件,黑进IDRM可能危害整个企业,因为它不仅存放可访问各种安全工具的凭证,也含有企业IT系统的漏洞信息。
IBM则向BleepingComputer表示,这是因程序错误而造成对研究人员的不当回应,该公司正着手打造缓解决方案法,并发布安全通知。根据IBM的说法,默认密码是已知的配置,而不管是文件下载或命令注射漏洞,都已在IDRM 2.0.4修补,目前正在调查身份认证绕过漏洞。