IBM volta atrás e confirma falhas Zero-Day

IBM volta atrás e confirma falhas Zero-Day no IDRM; entenda o caso

Estrela inativaEstrela inativaEstrela inativaEstrela inativaEstrela inativa
 

Depois de negar que o IBM Data Risk Manager (IDRM), um produto de segurança corporativa, possuía quatro vulnerabilidades do tipo Zero-Day

(falhas graves descobertas por terceiros sem ciência da desenvolvedora do software), a IBM voltou atrás e confirmou ao menos três dos problemas. A gigante da tecnologia, por meio de comunicado, prometeu que vai consertá-los irá informar a todos quando isso ocorrer.

Tudo começou quando o pesquisador Pedro Ribeiro, fundador e diretor de pesquisas da empresa de cibersegurança Agile, publicou em sua conta no GitHub a descoberta de quatro brechas zero-day no IBM Data Risk Manager, que nada mais é do que um centro de controle de riscos de dados que ajuda a descobrir, analisar e visualizar riscos de negócios relacionados a dados.

Watson da IBM já pode identificar e analisar expressões idiomáticas Em um primeiro momento, a IBM desdenhou dos problemas e alegou que o relatório feito por Ribeiro estava fora do escopo do programa de divulgação de vulnerabilidades da empresa, pois o IDRM era apenas para suporte aprimorado dos clientes. Isso aconteceu mesmo após o pesquisador ter entrado em contato com o CERT (Equipe de Resposta Emergencial à Comunidade, na tradução literal), órgão que responde a emergências com computadores e softwares nos EUA, para fazer avisar a IBM sobre esse perigo.

As falhas descobertas por Pedro Ribeiro foram:

Desvio de autenticação do IDRM, Ponto de injeção de comando em uma das APIs do IDRM que permite que os ataques executem comandos no app Combinação de nome de usuário e senha codificados Download arbitrário de arquivos por meio do dispositivo IDRM Três dos quatro erros podem ser encadeados para serem executados via código remoto sem autenticação usando direitos de superusuário root.

A IBM avisou que está trabalhando em um patch para solucionar esses casos.

 

Canaltech

Tags: , ,

Cadastre seu email e fique por dentro do munda da tecnologia