Por um motivo ou outro, as empresas muitas vezes optam por corrigir falhas graves de segurança em silêncio. Isso é exatamente o que aconteceu com a IBM recentemente, quando eles lançaram uma solução alternativa silenciosamente, abordando uma falha em seu software de backup corporativo.
a vulnerabilidade, dado o identificador CVE-2016-8939, é conhecido pela IBM desde setembro 2016 quando outro pesquisador, Kestutis Gudinavicius, desenterrou-o pela primeira vez. Contudo, Jakob Heidelberg, o pen tester e fundador da empresa de segurança Improsec também descobriu a falha recentemente e entrou em contato com a IBM.
“Esta é uma vulnerabilidade muito ruim que é fácil de explorar e fácil de corrigir,”O pesquisador disse acrescentando que“não há desculpa para a IBM deixar este tipo de vulnerabilidade aberta por tanto tempo.”
Mais sobre CVE-2016-8939
A vulnerabilidade está associada ao IBM Tivoli Storage Manager (TSM) cliente, agora conhecido como Spectrum Protect. A falha permite escalonamento local de privilégios e acesso a dados confidenciais - todos os documentos, pastas, e-mails e até mesmo nomes de usuário e senhas vinculados ao serviço TSM hospedado localmente podem ser comprometidos, disse o pesquisador.
Conforme a história continua, Heidelberg junto com seu colega Flemming Riis encontraram a falha em fevereiro deste ano. “Não podíamos acreditar em nossos próprios olhos quando, em muito pouco tempo, encontrou uma vulnerabilidade de segurança muito importante - e incrivelmente trivial - no produto TSM,”Heidelberg disse.
Os dois pesquisadores notificaram imediatamente a IBM apenas para descobrir que a empresa já o havia descoberto em setembro 2016 quando outro pesquisador relatou isso. Heidelberg destacou o fato de que a IBM finalmente publicou um boletim de segurança, mas somente depois que ele disse a eles que planejava publicar sua pesquisa. Dois dias depois que a empresa lançou oficialmente uma solução alternativa, o pesquisador publicou seu pesquisa.
Além de acesso não autorizado a arquivos (documentos, Planilhas, arquivos de configuração etc.), o atacante poderia, por exemplo, obter acesso a tudo do banco de dados SAM (hashes de senha) para valores de registro sensíveis, e senhas de texto possivelmente não criptografadas para contas de serviço.
Um insider malicioso é uma ameaça óbvia em relação a esta vulnerabilidade, dando ao invasor a possibilidade de divulgação de informações, Escalonamento de privilégios e roubo de credenciais.
Isso é o que Heidelberg e o pesquisador anterior, Kestutis Gudinavicius, ambos encontrados. Um usuário local com permissões limitadas para acessar um servidor que fornece acesso remoto de aplicativo e desktop pode obter acesso a todos os arquivos e informações do sistema armazenados no backup IBM TSM. A vulnerabilidade é tão séria.
Versões afetadas do IBM Spectrum Protect Windows Client a.k.a. Tivoli Storage Manager são todos os níveis de 8.1, 7.1, 6.4, mais 6.3 e anteriores.
Mitigações contra a vulnerabilidade CVE-2016-8939 IBM TSM
O pesquisador recomenda que todos os usuários do produto IBM TSM devem imediatamente:
- Implementar o Gambiarra em todos os sistemas relevantes (principalmente servidores com cliente de backup TSM instalado);
- Limitar o acesso à rede a servidores TSM, então apenas sistemas relevantes (aqueles que precisam de backup e restauração) pode se comunicar com os servidores de backend TSM (TCP padrão 1500).
Um patch oficial é esperado no terceiro ou quarto trimestre de 2017, IBM disse ao pesquisador.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: