IBM Data Risk Manager (IDRM) 0-day漏洞分析报告

IBM Data Risk Manager (IDRM) 0-day漏洞分析报告 漏洞概述 2020年4月21日，安全研究员Pedro Ribeiro公开披露了IBM Data Risk Manager (IDRM)产品中的四个严重安全漏洞。IDRM是一款企业安全工具，用于聚合来自漏洞扫描工具和其他风险管理工具的信息，帮助管理员调查安全问题。 受影响版本 确认受影响的版本：2.0.1至2.0.3 可能受影响的版本：2.0.4至2.0.6（因changelog未提及修复） 不确定版本：2.0.0（已不受厂商支持） 漏洞详情 1. 身份认证错误漏洞（超危） 漏洞描述 ： sessionID特征中存在逻辑错误，允许攻击者重置任何已有账户密码，包括管理员密码。 影响 ： 未经身份验证的远程攻击者可利用此漏洞完全控制管理员账户。 2. 命令注入漏洞（超危） 漏洞位置 ： /albatross/restAPI/v2/nmap/run/scan API 漏洞描述 ： 该API允许用户使用nmap脚本执行网络扫描，如果攻击者上传恶意脚本文件，可附加任意命令执行。 影响 ： 可导致远程代码执行，结合其他漏洞可获得root权限。 3. 硬编码凭证漏洞（超危） 漏洞描述 ： IDRM虚拟设备存在一个默认管理员用户： 用户名： a3user 默认密码： idrm 该用户允许通过SSH登录和运行sudo命令。虽然web接口的管理员用户( admin )在首次登录时需要修改密码，但 a3user 用户无此要求。 影响 ： 攻击者可利用此默认凭证直接获取系统访问权限。 4. 路径遍历漏洞（高危） 漏洞位置 ： /albatross/eurekaservice/fetchLogFiles API 漏洞描述 ： logFileNameList 参数存在目录遍历漏洞，允许攻击者从系统下载任意文件。 影响 ： 可导致敏感信息泄露，包括配置文件、密码文件等。 漏洞组合利用 攻击者可组合利用前三个超危漏洞： 利用身份认证错误重置管理员密码 使用命令注入执行恶意代码 通过硬编码凭证获取持久化访问 最终可在目标系统上以root权限执行任意代码。 安全影响 IDRM作为处理敏感信息的企业安全产品，一旦被攻陷可能导致： 公司全面沦陷（因包含访问其他安全工具的凭证） 严重漏洞信息泄露 企业内部网络进一步渗透 厂商回应 IBM最初以"IDRM仅为付费购买'增强'支持的客户提供"为由拒绝接受漏洞报告。后对外表示驳回报告是由于"流程错误"，并承诺： 正在着手推出缓解措施 将在安全公告中进行说明 建议措施 对于使用IDRM的企业： 立即检查使用的IDRM版本 如使用受影响版本，考虑暂时隔离该系统 强制修改所有用户密码，特别是 a3user 账户 限制对IDRM管理接口的访问 关注IBM官方安全公告，及时应用补丁 对于安全研究人员： 注意厂商漏洞披露政策差异 即使无赏金计划，也应通过正规渠道报告漏洞 保留完整的漏洞证明和沟通记录