Voor één of andere reden, bedrijven vaak kiezen voor ernstige beveiligingslekken in stilte op te lossen. Dat is precies wat er gebeurd is met IBM onlangs wanneer zij een tijdelijke oplossing stilletjes, de aanpak van een fout in haar enterprise backup software.
De kwetsbaarheid, gezien de CVE-2016-8939 identificator, is bekend dat IBM sinds September 2016 wanneer een andere onderzoeker, Kestutis Gudinavicius, opgegraven het voor de eerste keer. Echter, Jakob Heidelberg, pen tester en oprichter van beveiligingsbedrijf Improsec kwam ook aan de overkant van de zwakke plek onlangs en nam contact op IBM.
"Dit is een heel slecht kwetsbaarheid die zowel eenvoudig te benutten en eenvoudig op te lossen,”Zei de onderzoeker te voegen dat“er is geen excuus waarom IBM dit soort kwetsbaarheid zou open te laten voor zo lang."
Meer over CVE-2016-8939
Het beveiligingslek wordt geassocieerd met IBM Tivoli Storage Manager (TSM) cliënt, nu bekend als Spectrum Protect. De fout maakt lokale escalatie van privileges en gevoelige data access - alle documenten, mappen, e-mails en zelfs gebruikersnamen en wachtwoorden gekoppeld aan de lokaal gehoste TSM service kan worden aangetast, zei de onderzoeker.
Zoals het verhaal gaat, Heidelberg samen met zijn collega Flemming Riis vond de fout in februari van dit jaar. "We konden niet geloven dat onze eigen ogen toen we, in zeer korte tijd, vond een erg belangrijk - en ongelooflijk triviale - beveiligingsprobleem in de TSM product,”Heidelberg zei.
De twee onderzoekers onmiddellijk ter kennis IBM alleen om uit te vinden dat het bedrijf al had ontdekt in september 2016 wanneer een andere onderzoeker gemeld. Heidelberg gewezen op het feit dat IBM eindelijk gaf een beveiligingsbulletin maar pas nadat hij hen verteld dat hij van plan was om zijn onderzoek te publiceren. Twee dagen nadat het bedrijf officieel uitgebracht een tijdelijke oplossing te bevestigen de onderzoeker publiceerde zijn onderzoek.
Afgezien van ongeautoriseerde toegang tot bestanden (documenten, spreadsheets, configuratiebestanden etc.), De aanvaller zou, bijvoorbeeld, krijgen toegang tot alles van de SAM-database (wachtwoord hashes) gevoelige registry-waarden, en potentieel duidelijke tekst wachtwoorden voor serviceaccounts.
Een kwaadwillende insider is een duidelijke bedreiging met betrekking tot dit beveiligingslek, waardoor de aanvaller de mogelijkheid tot het vrijgeven van informatie, Privilege Escalation en Credential Diefstal.
Dit is wat Heidelberg en de vorige onderzoeker, Kestutis Gudinavicius, beide gevonden. Een lokale gebruiker met beperkte rechten voor toegang tot een server die remote app en desktop toegang biedt kon toegang tot alle bestanden en het systeem informatie die is opgeslagen op de IBM TSM back-up te verkrijgen. De kwetsbaarheid is dat ernstige.
Getroffen versies van IBM Spectrum Bescherm Windows Client a.k.a. Tivoli Storage Manager zijn alle niveaus van de 8.1, 7.1, 6.4, plus 6.3 en eerder.
Beperkende factoren tegen CVE-2016-8939 IBM TSM Vulnerability
De onderzoeker raadt alle gebruikers van het IBM TSM product onmiddellijk moet:
- implementeren van de tijdelijke oplossing over alle relevante systemen (voornamelijk servers met TSM backup client geïnstalleerd);
- toegang Beperk netwerk TSM servers, dus alleen relevante systemen (degenen die back-up nodig hebben en te herstellen) kan communiceren met de TSM back-end servers (standaard TCP 1500).
Een officiële patch wordt verwacht in ofwel de derde of vierde kwartaal van 2017, IBM vertelde de onderzoeker.