IBM Ürününde Zero Day Zafiyeti
Bir siber güvenlik araştırmacısı, IBM'in Data Risk Manager ürününde dört zero day açığı keşfetti.
Siber güvenlik araştırmacısı Pedro Ribeiro, IBM'in bir güvenlik aracı olarak şirketlere sunduğu Data Risk Manager ürününde dört zero day açığı keşfetti.
IBM Data Risk Manager, üst düzey yöneticiler ile ekiplerine, işletmelerini korumak için harekete geçmelerine olanak sağlamak amacıyla verilerle ilişkili iş risklerini açığa çıkarmalarına, analiz etmelerine ve görselleştirmelerine yardımcı olan, işletme tarafından kullanılabilecek bir veri riski kontrol merkezi çözümüdür.
Araştırmacı, keşfettiği güvenlik açıklarını "vulnerability disclosure programı" kapsamında IBM'e bildirdiğini ancak şirketin, kendisine bu açıkların "vulnerability disclosure programı" kapsamında olmadığını söyleyen bir geri dönüş yaptığını söyledi.
Bu yanıtın ardından Ribeiro, güvenlik açıklarını GitHub üzerinden açıklama kararı aldı ve açıkların teknik ayrıntılarını açıkladı. Araştırmacı tarafından açıklanan açıklar aşağıdaki gibidir:
- IDRM kimlik doğrulama mekanizmasının atlanması,
- IDRM API'larından birinde bir komut enjeksiyon noktası bulunması,
- IDRM'deki bir yönetici kullanıcı adı ve parolasının varsayılan olarak bulunması,
- IDRM API'ında hackerların, uzaktan IDRM cihazından dosya indirmesine izin veren güvenlik açığının bulunması.
Bu güvenlik açıklarının hepsinin uzaktan sömürülebileceğini söyleyen Ribeiro, bunun mümkün olması için IDRM cihazının internete bağlı olması gerektiğini söyledi.
IBM, ZDNet'e gönderdiği e-postada araştırmacıya verilen cevabın bir hata olduğunu ve söz konusu güvenlik açıklarını gidermek için çalıştıklarını söyledi.
Daha sonra ise IBM, bahsi geçen güvenlik açıklarından ikisini (Komut enjeksiyon ve dosya indirme açığı) giderdiğini ve kimlik doğrulama mekanizmasının atlatılmasıyla ilgili olan açığın da incelemeler tamamlandığında yayınlanacak güvenlik güncelleştirmesiyle giderileceğini söyledi.
Ancak IDRM'deki bir yönetici kullanıcı adı ve parolasının varsayılan olarak bulunmasının bilinen bir durum olduğunu ve ürünün kılavuzunda, kurulumdan sonra bu parolanın değiştirilmesi gerektiğinin söylendiğini belirtti.
Yorumlar