IBM ปฏิเสธที่จะแก้ไข หลังนักวิจัยทำการเผยช่องโหว่ ‘Zero-days’ 4 รายการใน IBM Data Risk Manager
Pedro Ribeiro ผู้อำนวยการฝ่ายวิจัยของ Agile Information Security ได้เปิดเผยช่องโหว่ ‘Zero-days’ 4 รายการใน IBM Data Risk Manager (IDRM) และทำการรายงานต่อ IBM โดยนักวิจัยด้านความปลอดภัยจาก IBM ปฏิเสธที่จะแก้ไขและยอมรับรายงานช่องโหว่ที่ส่งผ่าน CERT / CC
หลังจากถูกปฏิเสธ Pedro ตัดสินใจเผยเเพร่ช่องโหว่ที่ค้นพบลง GitHub ซึ่งช่องโหว่ที่เเพร่นี้ถูกพบใน IBM Data Risk Manager (IDRM) ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อช่วย วิเคราะห์ข้อมูลและแสดงภาพความเสี่ยงที่เกี่ยวข้องกับทางธุรกิจ
ช่องโหว่ที่ Ribeiro ค้นพบคือการ Bypass Authentication, Command Injection, การใช้ Default Password และการดาวน์โหลดไฟล์โดยไม่ได้รับอนุญาต
Ribeiro กล่าวว่าจากการทดสอบข้อบกพร่องด้านความปลอดภัยโดยใช้ช่องโหว่ที่เกี่ยวเนื่องกันสามรายการ ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถรันโค้ดจากระยะไกลในฐานะ Root บนระบบ นอกจากนี้เมื่อรวมช่องโหว่ที่หนึ่งและช่องโหว่ที่สี่ ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถดาวน์โหลดไฟล์จากระบบได้
Ribeiro ยังกล่าวว่าหลังจากที่เขาได้ทำการรายงานช่องโหว่ ‘Zero-days’ ต่อ IBM แต่เขาได้รับการปฏิเสธการรายงานช่องโหว่จาก IBM จึงทำให้เขาตัดสินใจเปิดเผยข้อมูลทั้งหมดต่อสาธารณะเพื่อให้บริษัทต่างๆ รับรู้ถึงปัญหาเพื่อที่จะสามารถป้องกันการใช้ประโยชน์จากช่องโหว่ดังกล่าว
สำหรับช่องโหว่ command injection และช่องโหว่การดาวน์โหลดไฟล์โดยไม่ได้รับอนุญาต รุ่นที่ได้รับผลกระทบคือ IBM Data Risk Manager (IDRM) เวอร์ชัน 2.0.1 และเวอร์ชันที่สูงกว่า
การเเก้ไขช่องโหว่
IBM ได้ทำการแนะนำให้ทำการอัปเกรด IBM Data Risk Manager (IDRM) เป็นเวอร์ชัน 2.0.4
ที่มา : bleepingcomputer
You must be logged in to post a comment.