IBM は、自社のエンタープライズ セキュリティ ソフトウェアの 4 つの脆弱性を特定したバグ レポートを不適切に処理したことを認め、勧告を発行する予定です。
IBM Data Risk Managerは、セキュリティに重点を置いた脆弱性スキャンと分析機能を提供し、企業が自社インフラの脆弱性を特定できるよう支援します。Linuxベースのこのスイートの少なくとも一部バージョンには、悪用可能な脆弱性が4つ存在していました。これらの脆弱性は、セキュリティ研究者のペドロ・リベイロ氏によって特定され、当初は非公開で無償公開されていました。そのうち3つは「重大」とされ、1つは「高リスク」とされています。
Ribeiro 氏が本日 GitHub で公開したアドバイザリで説明されているように、これらのソフトウェアの欠陥が連鎖すると、脆弱なインストール上で root として認証されていないリモート コード実行が可能になります。
リベイロ氏は公表前に、CC/CERTにIBMと非公式に責任ある情報開示の調整を依頼しようとしたが、IBMはバグ報告の受理を拒否した。リベイロ氏によると、メインフレーム大手のIBMは「この報告を審査した結果、この製品はお客様から料金をお支払いいただいた『拡張』サポートのみを対象としているため、当社の脆弱性開示プログラムの範囲外であると判断し、終了いたしました」と返答したという。
「世界中の大企業にエンタープライズ向けセキュリティ製品やセキュリティコンサルティングを販売している数十億ドル規模の企業であるIBMとしては、これは信じられない対応だ」とリベイロ氏は開示の中で述べた。
質の悪いJavaがIBM Watsonの「AI」に不快な味を残す:分析機器に潜む5つのセキュリティバグ
続きを読む
脆弱性は、認証バイパス、コマンドインジェクション、安全でないデフォルトパスワード、そして任意のファイルのダウンロードです。最初の3つを悪用すると、認証されていないリモートユーザーが任意のコードを実行できる可能性があり、そのためのMetasploitモジュールが存在します。脆弱性1と4は、認証されていない攻撃者がシステムから任意のファイルをダウンロードできる可能性を秘めています。この攻撃チェーンを悪用するMetasploitモジュールも存在します。
これらの脆弱性はまだCVE指定されておらず、私たちの知る限り、これらの脆弱性を修正するパッチやアップデートは現時点では提供されていません。最初の3つは、IBM Data Risk Manager 2.0.1から2.0.3に影響することが確認されています。Ribeiro氏は、最新リリースであるバージョン2.0.4から2.0.6にも脆弱性があると考えていますが、確認はされていません。4つ目はIDRM 2.0.2と2.0.3に影響し、2.0.4から2.0.6にも影響する可能性があります。The RegisterはIBMに2.0.6が影響を受けるかどうかを問い合わせましたが、IBMの広報担当者は回答しませんでした。
しかしIBMは、報告に誤りがあったと認めた。「プロセス上の誤りにより、IBMにこの状況を報告した研究者への対応が不適切となりました」と、同社の広報担当者はThe Register紙に語った。「現在、影響軽減策の策定に取り組んでおり、今後発行するセキュリティアドバイザリで検討する予定です。」
リベイロ氏はThe RegisterへのメールでIBMの回答を否定した。「まあ、何と言えばいいのか」と彼は言った。「冗談でしょう? セキュリティサービスを提供する一流企業だと自称しているIBMに、セキュリティ製品の重大な脆弱性を修正させるために、ゼロデイ脆弱性を公表し、公に彼らを辱めなければならないというのは、実に残念なことです」
「私の勧告でも述べたように、私は脆弱性が修正された時期について言及すること以外、何も見返りを求めずに、ただ彼らに情報開示しようとしただけです。とはいえ、IBMのような数十億ドル規模の企業がHackerOneに参加しているにもかかわらず、セキュリティ研究者に支払うための数ドルを捻出できないのは、非常に残念なことだと思います。」
Riberio 氏が勧告で指摘したように、IBM の脆弱性報奨プログラムでは賞金は提供されず、名誉のみが与えられます。®
