Уязвимостите повлияват IBM Data Risk Manager (IDRM) – набор от инструменти за сканиране на нивото на сигурност на различни комплексни системи и устройства, така че техните администратори да могат непрекъснато да установяват проблеми със сигурността и да ги коригират своевременно.
По-рано миналия месец експерти по кибер сигурност изразиха своите опасения, че в софтуера съществуват няколко уязвимости, които позволят неправомерен достъп или прикриване на злонамерен код, който да не може да бъде установен при сканирането. Първоначално компанията категорично отрече тези твърдения.
Сега от IBM признават три от четири сериозни уязвимости, докладвани от Педро Рибейро, служител в Agile Information Security като част от оповестяванията пред американския екип за поддръжка на системите за аварийно реагиране (CERT).
Три от четирите потвърдени слабости в кода могат да бъдат използвани за изпълняването на отдалечени скриптове без удостоверяване или чрез неправомерно използване на правата на суперпотребител в системата (root).
Уязвимостите от типа „нулев ден“
IRDM е корпоративен продукт за кибер сигурност, който обработва чувствителна информация в големи обеми и всеки компромис в него може да доведе до сериозни щети върху компанията, чието естество се простира далеч извън финансовите.
Изследователят, който първи оповести за уязвимостите, Рибейро, добави, че е открил грешките в IDRM и е опитал да се свърже директно с екипа на CERT, за да докладва проблемите на IBM чрез официалната програма за разкриване на уязвимости и бъгове. Въпреки сериозността на грешките, IBM отхвърля опита за разкриване на критичните уязвимости и оставя съобщенията на Рибейро без уважение.
По-късно отговорът, който от IBM дават, подсказва, че докладите на Рибейро за уязвимостта са извън обхвата на програмата за разкриване на уязвимости и бъгове, тъй като продуктът е предназначен само за допълнителна поддръжка на корпоративни клиенти – сиреч кибер експертът няма шанс да получи парична награда като част от програмата за разкриване на засечени уязвимости. От своя страна, Рибейро казва, че не е сигурен какво означава този отговор по отношение на това дали докладът му ще бъде уважен и дали са започнали дейности по установяване или коригиране на грешките.
„Това е причудлив отговор от IBM, многомилиардна компания, която осигурява продукти за охранителни предприятия и консултации по сигурността на огромни корпорации по целия свят“, казва Рибейро.