Af en eller anden grund, virksomheder ofte vælger at fastsætte alvorlige huller sikringsordninger i stilhed. Det er præcis, hvad der skete med IBM for nylig, da de udgav en løsning roligt, adressering en fejl i sin virksomhed backup software.
Sårbarheden, givet CVE-2016-8939 identifikator, har været kendt for IBM siden september 2016 når anden forsker, Kestutis Gudinavicius, afdækket det for første gang. Men, Jakob Heidelberg, pen tester og grundlægger af vagtselskab Improsec kom også på tværs af fejl for nylig og kontaktede IBM.
"Dette er en virkelig dårlig sårbarhed, der er både let at udnytte og let at løse,”Forskeren sagde tilføjede, at”der er ingen undskyldning, hvorfor IBM ville forlade denne type sårbarhed åben i så lang tid."
relaterede Story: Reconyc Trojan Fundet på USB-drev leveres med IBM Storewize
Mere om CVE-2016-8939
Sårbarheden er forbundet med IBM Tivoli Storage Manager (TSM) klient, nu kendt som Spectrum Protect. Fejlen gør det muligt lokal eskalering af privilegier og følsom dataadgang - alle dokumenter, mapper, e-mails og endda brugernavne og passwords bundet til den lokalt hostede TSM tjeneste kunne blive kompromitteret, forskeren sagde.
Som historien går, Heidelberg sammen med sin kollega Flemming Riis fandt fejl i februar i år. "Vi kunne ikke tro vores egne øjne, når vi, i meget kort tid, fundet en temmelig vigtig - og utrolig trivielt - sikkerhedsbrist i TSM produkt,”Heidelberg sagde.
De to forskere straks anmeldes IBM kun at finde ud af, at virksomheden allerede havde opdaget det i september 2016 når en anden forsker rapporterede det. Heidelberg understregede, at IBM endelig udsendt en sikkerhedsbulletin, men først efter at han fortalte dem, at han planlagde at udgive sin forskning. To dage efter, at virksomheden officielt udgav en løsning, offentliggjorde forskeren sin forskning.
Bortset fra uautoriseret adgang til filer (dokumenter, regneark, konfigurationsfiler mv), det kunne angriberen, for eksempel, få adgang til alt fra SAM-databasen (password hashes) følsomme indskrive-værdier, og potentielt klare adgangskoder tekst for service-konti.
En ondsindet insider er en oplagt trussel i forhold til denne sårbarhed, giver angriberen mulighed for offentliggørelse af oplysninger, Rettighedsforøgelse og Credential Tyveri.
Dette er, hvad Heidelberg og den tidligere forsker, Kestutis Gudinavicius, begge fundet. En lokal bruger med begrænsede tilladelser til at få adgang til en server, der giver remote app og desktop adgang kunne få adgang til alle filer og systemets information lagret på IBM TSM backup. Sårbarheden er, at alvorlige.
Påvirkede versioner af IBM Spectrum Protect Windows-klienten a.k.a. Tivoli Storage Manager er alle niveauer af 8.1, 7.1, 6.4, plus 6.3 og tidligere.
relaterede Story: Gammel men stadig Valsede: NTFS Bug Krak Windows 7, 8.1
Afhjælpninger mod CVE-2016-8939 IBM TSM sårbarhed
Forskeren anbefaler, at alle brugere af IBM TSM produkt bør straks:
- gennemføre workaround på alle relevante systemer (primært servere med TSM backup klient installeret);
- Begræns netværksadgang til TSM servere, så kun relevante systemer (dem, der har brug for backup og gendannelse) kan kommunikere med TSM backend-servere (standard TCP 1500).
En officiel patch forventes i enten tredje eller fjerde kvartal af 2017, IBM fortalte forskeren.