IBM a reconnu plusieurs failles dans l'un de ses produits de sécurité après avoir initialement nié avoir signalé des vulnérabilités. Les vulnérabilités ont affecté IBM Data Risk Manager (IDRM), qui regroupe le flux d'outils d'analyse des vulnérabilités et d'autres dispositifs de gestion des risques afin que les administrateurs puissent continuellement enquêter et isoler les problèmes de sécurité. IBM a identifié trois des quatre vulnérabilités graves signalées par Pedro Ribeiro d'Agile Information Security en relation avec les divulgations à l'équipe américaine d'intervention d'urgence informatique (CERT).Trois des quatre bogues peuvent être enchaînés pour exécuter du code à distance sans authentification à l'aide du superutilisateur root. droits.
Vulnérabilités du jour zéro
IRDM est un produit de sécurité d'entreprise qui gère des informations sensibles et toute compromission sur un tel produit pourrait conduire à une compromission d'entreprise à grande échelle car l'outil dispose d'informations d'identification pour accéder à d'autres outils de sécurité, en plus de contenir des informations sur les vulnérabilités critiques affectant IBM, a déclaré Ribeiro. . . Le chercheur a ajouté qu'il avait trouvé les bogues dans IDRM et avait travaillé avec l'équipe CERT pour signaler les problèmes à IBM via le programme officiel de divulgation des vulnérabilités de bogues. Cependant, malgré la gravité des erreurs, IBM n'a pas accepté la tentative de divulgation. La réponse d'IBM suggérait que le rapport de vulnérabilité sortait du cadre du programme de divulgation des vulnérabilités de l'entreprise, car le produit était uniquement destiné à améliorer le support client. Pour sa part, Ribiero dit qu'il n'est pas sûr de ce que signifie la réponse en termes d'acceptation du rapport ou de non-approbation du produit. "Il s'agit d'une réponse incroyable de la part d'IBM, une société multimilliardaire qui vend des produits de sécurité d'entreprise et des services de conseil en sécurité aux grandes entreprises du monde entier", a déclaré Ribeiro. Dans une réponse par courrier électronique à ZDNet, IBM a regretté la manière dont l'incident s'est déroulé et a déclaré qu'il s'agissait d'une erreur de processus qui avait amené le chercheur à répondre de manière incorrecte. "Nous avons travaillé sur des mesures d'atténuation et elles seront discutées dans un avis de sécurité qui sera publié", indique le courrier électronique. Via : ZDNet