IBMの企業向けセキュリティ製品に4件のゼロデイ脆弱性、セキュリティ研究者がGitHubで情報公開

by Daniel Voyager

IBMが提供するエンタープライズセキュリティソフトウェアのIBM Data Risk Manager(IDRM)に影響を与える未修正のゼロデイ脆弱性4件について、セキュリティ研究者のPedro Ribeiro氏が技術的な詳細と概念実証をGitHubで公開しました。

PoC/ibm_drm_rce.md at master · pedrib/PoC · GitHub
https://github.com/pedrib/PoC/blob/master/advisories/IBM/ibm_drm/ibm_drm_rce.md

Researcher Discloses 4 Zero-Day Bugs in IBM's Enterprise Security Software
https://thehackernews.com/2020/04/ibm-data-risk-manager-vulnerabilities.html

Ribeiro氏によれば、IBM Data Risk Managerには「認証のバイパス」「コマンドの挿入」「安全でないデフォルトパスワード」「任意ファイルのダウンロード」に重大な脆弱性と影響力の高いバグが含まれており、攻撃者がネットワークを介して任意のファイルをダウンロードしたり遠隔からコードを実行したりする可能性があるとのこと。

認証バイパスの脆弱性とは、セッションID機能の論理エラーを悪用して、管理者を含む既存のアカウントのパスワードをリセットできるというもの。また、IBM Data Risk Managerはユーザーにnmapコマンドを使用させてネットワークスキャンを実行させるため、攻撃者から悪意のあるコマンドを挿入されて実行される可能性が指摘されています。

加えて、IBM Data Risk Managerの仮想アプライアンスでは、SSH接続とsudoを実行するためにユーザーID「a3user」・デフォルトパスワード「idrm」が設定された管理ユーザーがおり、攻撃者から標的になり得るとRibeiro氏は指摘。さらに、認証を受けたユーザーがシステムからログファイルをダウンロードできるようにするためのAPIエンドポイントにバグがあり、認証バイパスの脆弱性と組み合わせることで悪意のあるユーザーがシステムから任意のファイルをダウンロードできる可能性があるそうです。

Ribeiro氏はIBM Data Risk Managerのバージョン2.0.1から2.0.3まででテストしたそうですが、いずれの更新ログにおいても脆弱性についての言及がなく、バージョン2.0.4から最新の2.0.6でもこの脆弱性が残っているとみています。「IBM Data Risk Managerは非常に機密性の高い情報を扱う企業向けのセキュリティソフトウェアです。このようなソフトウェアで脆弱性が残されているということは、他のセキュリティツールにアクセスするための資格情報など、企業にとって重大な情報漏えいにつながる可能性があります」とRibeiro氏は指摘しています。

Ribeiro氏はこの問題をIBMに報告したそうですが、IBMからは「IBM Data Risk Managerはお客様が有料で受けられる『強化サポート』のみを対象としているため、脆弱性情報開示プログラムの対象外と判断し、レポートを作成した上で今回の件をクローズしました」と回答があり、脆弱性の情報開示を拒否されたため、GitHubでの情報公開に踏み切ったそうです。

Ribeiro氏は「いずれにせよ、バグバウンティプラットフォームであるHackerOneのアカウントを私は持っておらず、HackerOneやIBMの開示条件に同意していないので、懸賞金を求めたり期待したりはしていません。私は単に、この脆弱性を責任を持ってIBMに開示し、IBMに修正させたかっただけです」と語っています。

なお、IBMの広報担当者は、技術系ニュースメディアのThe Hacker Newsに対して「プロセスで手違いがあり、IBMに報告した研究者に不適切な対応をしてしまいました。脆弱性については現在修正に取り組んでおり、セキュリティアドバイザリーで議論される予定です」と述べました。