IBM se desentiende de advertencia sobre vulnerabilidad en Sudo

Un investigador de ciberseguridad ha revelado públicamente las vulnerabilidades del Data Risk Manager de IBM, afirmando que la empresa simplemente ignoró su advertencia, comunicada mediante un canal oficial. Según el investigador, IBM también habría mentido.

Los errores, detectados por Pedro Ribeiro, Director de Investigación de Agile Information Security, son detallados en GitHub, y corresponden a la herramienta de software de seguridad empresarial de IBM, que agrega y visualiza los riesgos de seguridad recogidos a través del software de escaneo y gestión de riesgos.

Según Ribeiro, hay tres vulnerabilidades de “riesgo crítico” y una de “alto riesgo”, a saber, un bypass de autenticación, inyección de comandos, contraseña predeterminada insegura y una descarga de archivos arbitraria. Según Ribeiro, es posible que un atacante concatene estas vulnerabilidades para poder ejecutar código de forma remota como usuario root dentro de un sistema.

Uno de los problemas reportados por Ribeiro involucra una contraseña insegura predeterminada. El usuario administrativo en el dispositivo virtual del Data Risk Manager aparece listado como ‘a3user’, lo que le permite acceder y ejecutar comandos sudo. Para este usuario se aplica la contraseña por defecto ‘idrm’. El investigador encontró que usando el bypass de autenticación y las vulnerabilidades de inyección de comandos podrían aprovechar estas contraseñas por defecto e iniciar una ejecución remota de código como root en el dispositivo virtual del administrador.

Riberio afirma comentó a Computer Business Review que”en cuanto a la contraseña predeterminada, dicen recomendar que se cambie, pero eso es mentira. Si sigues el enlace que proporcionan en el boletín, está muy claro que dicen que la contraseña puede ser cambiada, pero no recomiendan hacerlo ni obligan al usuario a hacerlo”.

Ribeiro dice que trató de revelar responsablemente las vulnerabilidades de día cero a IBM contactando al Centro de Coordinación del CERT (CERT/CC) para elaborar un informe oficial de vulnerabilidad. Sin embargo, IBM rechazó el informe y respondió al CERT/CC con el siguiente mensaje: “Hemos evaluado este informe, cerrando el caso por estar fuera del ámbito de nuestro programa de revelación de vulnerabilidades ya que este producto es sólo para soporte ‘mejorado’ pagado por nuestros clientes”.

El investigador de seguridad dijo a Computer Business Review que esta era una “respuesta increíble de IBM”, porque cualquier acceso no autorizado al gestor de riesgos de datos de IBM podría tener graves consecuencias debido a que procesa información sensible. “Un hackeo del Data Risk Manager podría llevar a una organización a experimentar una brecha a gran escala”.

IBM publicó un boletín de seguridad, en el que afirma que dos de las vulnerabilidades han sido corregidas y que distribuiría un parche.

Pedro Riberio agregó que IBM aún no se ha puesto en contacto con él, y que “según ellos (IBM), dos de las vulnerabilidades fueron corregidas en la versión 2.0.4. No estoy seguro de qué creer, ya que no hay registro de ninguna vulnerabilidad corregida, en ninguno de los change logs que IBM ha publicado desde entonces”.

Como IBM parecía desinteresarse del informe de seguridad, Pedro Ribeiro decidió revelar las vulnerabilidades de día cero vía GitHub. El investigador menciona que no buscaba una recompensa y que ni siquiera tiene una cuenta HackerOne a través de la cual recibir una. “Simplemente quería revelarlas a IBM de forma responsable y dejar que lo solucionaran”, dijo.

Ilustración: Carson Masterson, Unsplash


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022