Os investigadores da Agile lançaram as quatro falhas no Github após a empresa se ter recusado a corrigi-las e aceitá-las. Foram encontradas mais precisamente no software de segurança IBM Data Risk Manager, que ajuda empresas a descobrir, analisar e visualizar riscos de negócios relacionados com dados.
Falhas encontradas:
- Ultrapassagem da autenticação
- Injeção de comandos
- Palavra-passe por defeito insegura
- Download arbitrário de ficheiros
As primeiras três permitem executar código remotamente como administrador, se escaladas, sendo que, de acordo com os investigadores, tal é possível também a partir de dois módulos do Metasploit, que passam a fase de autenticação e exploram tanto a execução de código remota como o download arbitrário de ficheiros.
Falhas que foram corrigidas
- Injeção de comandos
- Download de ficheiros arbitrários
Versões afetadas
- 2.0.1
- 2.0.2
- 2.0.3
Versões corrigidas
- 2.0.4
O que a IBM recomenda é que os utilizadores façam a atualização para a versão do IDRM 2.0.6.
Mais informações: https://www.bleepingcomputer.com/news/security/researcher-discloses-four-ibm-zero-days-after-refusal-to-fix/
