首页 > 清静研究 > 清静转达 > 清静通告

IBM DataRisk Manager |多个清静误差通告

宣布时间 2020-04-23

0x00 误差概述

产品	CVE ID	类型	误差品级	远程使用	影响规模
IBM Data Risk Manager	暂无	AB	严重	是	IBM Data Risk Manager 2.0.1 to 2.0.3 IBM Data Risk Manager 2.0.4 to 2.0.6 可能受影响
	暂无	CI	严重	是
	暂无	IDP	严重	是
	暂无	AFD	高危	是

0x01 误差详情

Agile信息清静公司的研究职员Pedro Ribeiro 4月21日在GitHub上果真披露了四个IBM 0day误差。。。。。这些误差影响IBM DataRisk Manager（IDRM），，，，，IDRM是一款企业清静工具，，，，，聚合来自误差扫描工具和其他危害治理工具的信息，，，，，以便治理员视察清静问题。。。。。

在剖析IDRM Linux虚拟装备时，，，，，Ribeiro发明了4个0day：身份认证过失误差、下令注入误差、不清静的默认密码误差以及恣意文件下载误差。。。。。这些误差可以单独使用也可以组合使用，，，，，组合使用前三个误差可以使攻击者以root权限远程执行代码，，，，，组合使用第一个和第四个误差可以使未授权的攻击者下载恣意文件。。。。。

误差的披露者Ribeiro体现，，，，，IDRM是处置惩罚敏感信息的企业清静产品，，，，，若是其遭到攻击会导致公司利益严重受损，，，，，因此在IBM拒绝接受误差报告后选择将其宣布出来。。。。。现在，，，，，IBM公司修复了IDRM2.0.1及更高版本中的恣意文件下载误差和下令注入误差，，，，，并且正在视察身份验证绕过误差。。。。。

（1）身份认证过失误差源于IDRM在/ albatross / saml / idpSelection有一个API将攻击者提供的ID与系统上的有用用户相关联。。。。。未经身份验证的攻击者可使用该误差重置任何已有账户密码，，，，，包括治理员密码。。。。。

（2）下令注入误差源于IDRM的/albatross/restAPI/v2/nmap/run/scan中的某个API允许用户使用nmap剧本执行网络扫描，，，，，若是该剧本文件由攻击者上传，，，，，那么就可能被附加恶意下令。。。。。

（3）默认密码误差爆发的缘故原由在于IDRM虚拟装备中的治理用户是“a3user”，，，，，默认密码为“idrm”。。。。。该用户被允许通过SSH登录和运行sudo下令。。。。。虽然IDRM强制web接口的治理员用户（“admin”）在首次登录时修改密码，，，，，可是却没有要求“a3user”用户修改密码。。。。。

（4）恣意文件下载误差源于/albatross/eurekaservice/fetchLogFiles中的某个API允许经由身份验证的用户从系统下载日志文件。。。。。可是，，，，，logFileNameList参数包括一个目录遍历误差，，，，，攻击者可使用该误差从系统下载恣意文件。。。。。

0x02 处置惩罚建议

下令注入误差和恣意文件下载误差已修复，，，，，将IDRM升级到2.0.4版本即可。。。。。下载地点：https://www.ibm.com/software/passportadvantage/pacustomers.html；；；；；；

默认密码误差，，，，，IBM建议凭证宣布的装置指南在首次装置时重置。。。。。参考链接：https://www.ibm.com/support/knowledgecenter/en/SSJQ6V_2.0.6/com.ibm.idrm.doc/install/tsk/tsk_installguide_idrm_configuration.html；；；；；；

身份认证过失误差暂时没有修复，，，，，请实时关注厂商信息：https://www.ibm.com/support/pages/node/6195705。。。。。

0x03 相关新闻

https://www.zdnet.com/article/security-researcher-discloses-four-ibm-zero-days-after-company-refused-to-patch/#ftag=RSSbaffb68

0x04 参考链接

https://github.com/pedrib/PoC/blob/master/advisories/IBM/ibm_drm/ibm_drm_rce.md

0x05 时间线

2020-04-21 GitHub宣布误差

2020-04-23 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Z6尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系Z6尊龙凯时

清静研究

IBM DataRisk Manager |多个清静误差通告

关于Z6尊龙凯时

解决计划

清静研究

联系Z6尊龙凯时

7*24小时效劳热线