IBM이 패치 거부 의사를 밝힌 후 IBM 제로데이 4개 공개돼

Security researcher discloses four IBM zero-days after company refused to patch

한 보안 연구원이 IBM 보안 제품에 존재하는 제로데이 취약점 4개에 대한 세부 사항을 공개했습니다. 

그는 IBM 측에 이 제로데이 취약점를 제보했으나, 회사가 패치를 거부해 이를 공개하게 됐다고 밝혔습니다.

이 취약점는 관리자들이 보안 이슈를 조사할 수 있도록 취약점 스캐닝 툴 및 기타 위험 관리 도구의 피드를 모아 주는 기업용 보안 툴인 IDRM(IBM Data Risk Manager)에 존재합니다.

이 취약점를 발견한 Agile Information Security의 Pedro Ribeiro는 아래와 같이 밝혔습니다.

"IDRM은 매우 민감한 정보를 다루는 기업용 보안 제품입니다. 이 툴은 또 다른 보안 툴에 접근 가능한 크리덴셜과 회사에 영향을 미치는 중요한 취약점에 대한 정보를 가지고 있기 때문에, 이러한 툴이 해킹될 경우 회사 전체 시스템이 위험할 수 있습니다.”

IBM, 제보된 이슈를 패치하지 않을 것이라 밝혀

Ribeiro는 IDRM에서 취약점 4개를 발견했으며, CERT/CC팀과 협업하여 공식 취약점 취약점 공개 프로그램을 통해 IBM에 이를 제보했다고 밝혔습니다.

하지만 그는 IBM으로부터 이해할 수 없는 답변을 받았다고 밝혔습니다.

이 제품은 고객이 지불한 “향상된” 지원만을 위한 것이기 때문에, 취약점 공개 프로그램의 범위를 벗어난 것으로 간주되어 이 보고서를 평가 후 종료시켰습니다. 이는 IBM의 정책에 설명되어 있습니다. 

이 프로그램에 참여하려면, 보고서를 제출하기 전 6개월 이내 IBM Corporation, IBM 자회사, 또는 IBM 고객과 보안 테스트를 수행하기 위한 계약을 하지 않은 상태여야 합니다.

이 답변을 받은 연구원은 전 세계 대기업에 기업 보안 제품과 보안 컨설팅 서비스를 판매하는 수십억 달러 규모 회사인 IBM으로부터 믿을 수 없는 답변을 들었다라고 밝혔습니다.

GITHUB에 세부 사항 공개돼

IBM이 취약점를 패치하는데 관심이 없는 것으로 파악돼 해당 연구원은 GitHub에 이 취약점 4개에 대한 세부사항을 공개했습니다.

제보된 취약점 4개는 아래와 같습니다.

IDRM 인증 메커니즘 우회

IDRM API에 존재하는 명령 인젝션 포인트로 인해 해당 프로그램에서 공격자가 명령어를 실행하도록 허용함

하드코딩된 사용자 계정 및 패스워드 a3user/idrm

IDRM API 내 취약점으로 원격 공격자가 IDRM 어플라이언스에서 파일을 다운로드할 수 있도록 허용

이 권고는 취약점 4개와, 이 중 처음 3개를 연결하여 루트 권한으로 승인되지 않은 원격 코드 실행을 달성할 수 있는 방법을 설명합니다.

또한 인증을 우회하고 원격 코드 실행 및 임의 파일 다운로드가 가능한 Metasploit 모듈 2개가 대중에 공개되고 있습니다.

Ribeiro는 취약점 4개는 모두 원격으로 악용이 가능하다고 덧붙였습니다. IDRM 어플라이언스가 온라인에 노출되어 있는 상태일 경우, 인터넷을 통해 공격이 가능합니다. 

하지만 일반적으로 이러한 시스템은 인터넷에 노출시키지 않기 때문에 IDRM을 운영하는 조직이 위험에 처할 수 있는 확률은 감소됩니다.

그러나 IDRM이 온라인에 노출되어 있지 않는다고 하더라도, 회사 내부 네트워크 내 워크스테이션에 접근이 가능한 공격자는 이 취약점 4개를 연결해 IDRM 어플라이언스의 제어 권한을 얻어 다른 시스템의 크리덴셜을 추출하고, 회사 네트워크 내 다른 시스템에 측면 이동이 가능합니다.

IBM, “프로세스 에러”라 해명해

IBM의 한 대변인은 ZDNET에 이메일을 통해 해당 사건이 이렇게 전개되었음에 매우 유감이며, 현재 이 취약점에 대한 패치를 준비 중이라며 아래와 같이 밝혔습니다.

“프로세스 오류로 인해 IBM에 이 취약점을 제보한 연구원에 부적절한 답변을 드리게 되었습니다. 현재 완화 단계를 준비하고 있으며 곧 발표될 보안 권고를 통해 공개할 예정입니다.”

출처:

https://www.zdnet.com/article/security-researcher-discloses-four-ibm-zero-days-after-company-refused-to-patch/

https://github.com/pedrib/PoC/blob/master/advisories/IBM/ibm_drm/ibm_drm_rce.md