セキュリティ

IBMの企業向けセキュリティ製品に4件のゼロデイ脆弱性、セキュリティ研究者がGitHubで情報公開

by Daniel Voyager

IBMが提供するエンタープライズセキュリティソフトウェアのIBM Data Risk Manager(IDRM)に影響を与える未修正のゼロデイ脆弱性4件について、セキュリティ研究者のPedro Ribeiro氏が技術的な詳細と概念実証をGitHubで公開しました。

PoC/ibm_drm_rce.md at master · pedrib/PoC · GitHub
https://github.com/pedrib/PoC/blob/master/advisories/IBM/ibm_drm/ibm_drm_rce.md


Researcher Discloses 4 Zero-Day Bugs in IBM's Enterprise Security Software
https://thehackernews.com/2020/04/ibm-data-risk-manager-vulnerabilities.html


Ribeiro氏によれば、IBM Data Risk Managerには「認証のバイパス」「コマンドの挿入」「安全でないデフォルトパスワード」「任意ファイルのダウンロード」に重大な脆弱性と影響力の高いバグが含まれており、攻撃者がネットワークを介して任意のファイルをダウンロードしたり遠隔からコードを実行したりする可能性があるとのこと。

認証バイパスの脆弱性とは、セッションID機能の論理エラーを悪用して、管理者を含む既存のアカウントのパスワードをリセットできるというもの。また、IBM Data Risk Managerはユーザーにnmapコマンドを使用させてネットワークスキャンを実行させるため、攻撃者から悪意のあるコマンドを挿入されて実行される可能性が指摘されています。


加えて、IBM Data Risk Managerの仮想アプライアンスでは、SSH接続とsudoを実行するためにユーザーID「a3user」・デフォルトパスワード「idrm」が設定された管理ユーザーがおり、攻撃者から標的になり得るとRibeiro氏は指摘。さらに、認証を受けたユーザーがシステムからログファイルをダウンロードできるようにするためのAPIエンドポイントにバグがあり、認証バイパスの脆弱性と組み合わせることで悪意のあるユーザーがシステムから任意のファイルをダウンロードできる可能性があるそうです。


Ribeiro氏はIBM Data Risk Managerのバージョン2.0.1から2.0.3まででテストしたそうですが、いずれの更新ログにおいても脆弱性についての言及がなく、バージョン2.0.4から最新の2.0.6でもこの脆弱性が残っているとみています。「IBM Data Risk Managerは非常に機密性の高い情報を扱う企業向けのセキュリティソフトウェアです。このようなソフトウェアで脆弱性が残されているということは、他のセキュリティツールにアクセスするための資格情報など、企業にとって重大な情報漏えいにつながる可能性があります」とRibeiro氏は指摘しています。

Ribeiro氏はこの問題をIBMに報告したそうですが、IBMからは「IBM Data Risk Managerはお客様が有料で受けられる『強化サポート』のみを対象としているため、脆弱性情報開示プログラムの対象外と判断し、レポートを作成した上で今回の件をクローズしました」と回答があり、脆弱性の情報開示を拒否されたため、GitHubでの情報公開に踏み切ったそうです。


Ribeiro氏は「いずれにせよ、バグバウンティプラットフォームであるHackerOneのアカウントを私は持っておらず、HackerOneやIBMの開示条件に同意していないので、懸賞金を求めたり期待したりはしていません。私は単に、この脆弱性を責任を持ってIBMに開示し、IBMに修正させたかっただけです」と語っています。

なお、IBMの広報担当者は、技術系ニュースメディアのThe Hacker Newsに対して「プロセスで手違いがあり、IBMに報告した研究者に不適切な対応をしてしまいました。脆弱性については現在修正に取り組んでおり、セキュリティアドバイザリーで議論される予定です」と述べました。

この記事のタイトルとURLをコピーする

・関連記事
1000万円超の報奨金を新作ゲーム用チート対策ツールの抜け穴を発見した人に与えるとLeague of Legendsの開発元が発表 - GIGAZINE

オンラインビデオ会議アプリ「Zoom」の暗号化キーの一部が「中国のサーバー」から発行されていると判明、「待機室」機能にも脆弱性アリ - GIGAZINE

「AmazonやPayPalにアカウント認証の抱える脆弱性を指摘しても相手にしてもらえなかった」とセキュリティ研究者が報告 - GIGAZINE

Windows 10のファイル共有プロトコルに重大度「緊急」の脆弱性、修正パッチは準備中だが回避策はあり - GIGAZINE

CIAの重要機密情報「Vault 7」をWikiLeaksに漏らした容疑の元CIA職員が有罪に - GIGAZINE

Nintendo Switchのリーク情報を流したハッカーが2800万円超の賠償金支払いを命じられる - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.