Эксперты обнаружили в IBM Data Risk Manager (IDRM) уязвимости, но американская компания проигнорировала предоставленный отчет. В итоге информация была опубликована. Только после публикации в IBM обратили внимание на работу экспертов.
Педро Рибейро, сотрудник Agile Information Security, нашел в IDRM следующие проблемы: инъекция команд, скачивание произвольного файла и обход авторизации, предустановка слишком легкого пароля по умолчанию. Data Risk Manager – программный инструмент IBM, призванный находить, анализировать и визуализировать бизнес-риски.
Педро Рибейро, пояснил, что при использовании найденных уязвимостей в определенном порядке злоумышленники получают возможность запуска произвольного кода на стороннем оборудовании, скачивания данных из системы, в которой работает IBM Data Risk Manager. Специалист из Agile Information Security отметил высокую серьезность вероятной угрозы для любой компании, использующей IDRM (вплоть до получения доступа злоумышленниками к защищенной информации).
Соответствующий отчет об обнаруженных уязвимостях был направлен в IBM, но там его не приняли, не признали существование найденных проблем. Рибейро получил следующий ответ: «Предоставленный отчет не входит в рамки программы IBM по обработке уязвимостей, потому что поставка Data Risk Manager выполняется исключительно по программе расширенной поддержки клиентов».
Чем всё закончилось?
Из-за отказа IBM Педро Рибейро опубликовал имеющуюся у него информацию, чтобы у пользователей IBM Data Risk Manager была возможность самостоятельно предпринять необходимые меры для защиты.
После публикации представители IBM связались с изданием BleepingComputer, рассказав, что произошла процедурная ошибка, из-за которой Педро Рибейро был направлен некорректный ответ на высланный отчет.
Через некоторое время IBM представила официальное сообщение с рекомендацией обновления ПО до версии 2.0.4. В нем сказано об исправлении двух найденных проблем: инъекции команд и возможности произвольного скачивания. Также даны рекомендации по самостоятельному изменению предустановленного пароля. Уязвимость, связанная с обходом авторизации, на данный момент изучается сотрудниками IBM.