研究人員公布IBM企業安全工具的零時差漏洞

來自Agile Information Security的研究人員Pedro Ribeiro，因為提交漏洞被IBM所拒，在本周透過GitHub公布了IBM企業安全工具IBM Data Risk Manager（IDRM）的零時差漏洞。

IDRM為IBM所開發的企業安全軟體，它能一次集結並檢視來自各種漏洞掃描工具或風險管理工具的數據，以方便企業展開調查或分析。Ribeiro所測試的版本為IDRM 2.0.3。

Ribeiro發現了IDRM的4個安全漏洞，包括不安全的預設密碼、可繞過身分認證、執行命令注射，以及任意下載檔案等。在發現漏洞之後，Ribeiro藉由電腦網路危機處理暨協調中心（CERT/CC）來通報IBM，但IBM的回應令Ribeiro傻眼。

根據Ribeiro所貼出的IBM回應內容，IBM聲稱自己已評估過該報告，也已將它結案，因為相關漏洞並不在該公司漏洞揭露專案的範圍內，而且此一產品只是IBM替付費客戶所提供的強化支援。

Ribeiro則批評IBM身為一家身價達數十億美元的國際企業，不僅銷售企業安全產品，還提供安全顧問，卻拒絕接受一個免費且高品質的漏洞報告。

Ribeiro說，他並未向IBM要求獎勵，對此也不抱任何期待，他只是想要IBM修補它們；更何況，IBM與HackerOne合作的抓漏專案，並未提供獎金，而只是賦予這些協助找出漏洞的研究人員「榮譽」。

Ribeiro除了公布漏洞細節外，也描述了如何串連前三個漏洞，以取得最高權限並執行遠端程式攻擊，並打算釋出相關漏洞的攻擊程式與模組。他說，IDRM為一處理機密資訊的安全軟體，駭進IDRM可能危害整個企業，因為它不僅存放可存取各種安全工具的憑證，也含有企業IT系統的漏洞資訊。

IBM則向BleepingComputer表示，這是因程序錯誤而造成對研究人員的不當回應，該公司正著手打造緩解方法，並發布安全通知。根據IBM的說法，預設密碼是已知的配置，而不管是檔案下載或命令注射漏洞，都已在IDRM 2.0.4修補，目前正在調查身分認證繞過漏洞。