Siden september 2016 har IBM kendt til en potentielt alvorlig sårbarhed i virksomhedens udbredte softwareprodukt Tivoli Storage Management (TSM). Men først for nylig har den globale teknologi-mastodont frigivet oplysninger om problemet, og om hvordan kunder kan beskytte sig.
Det er sket, efter Version2-blogger og CEO i sikkerhedsvirksomheden Improsec Jakob Heidelberg sammen med sin kollega Flemming Riis truede IBM med at offentliggøre detaljer om sikkerhedsproblemet.
De to sikkerhedsfolk stødte på sårbarheden i IBM's backup-software, da de testede sikkerheden (pentest) hos en kunde. Her opdagede Riis og Heidelberg, at login-oplysningerne til storageløsningen lå frit tilgængelige i registreringsdatabasen på en server. Vel at mærke for alle brugere, der kan logge på systemet og ikke kun eksempelvis admin-kontoen.
Jakob Heidelberg forklarer, at hullet eksempelvis kan udnyttes, hvis en bruger laver en fjernopkobling til en Citrix-server, og der samtidig kører en TMS-agent på serveren.
Så kan de enkelte brugere tilgå TSM-login-oplysningerne i registreringsdatabasen.
Når man så logger på sin computer på arbejde, kan man installere IBM TSM-backup-agenten og indlæse node- og password-info i Windows-installationens registreringsdatabase samt TSM-serverens ip-adresse.
Det kræver, man er admin på den lokale pc, men så kan hele backuppen fra eksempelvis Citrix-serveren med TSM-installationen også gendannes.
»Så hvis direktøren eller it-administratoren har været logget på maskinen også, så vil jeg kunne se alt muligt, jeg ikke burde kunne se.«
Jakob Heidelberg forklarer, at eksterne konsulenter, der eksempelvis via en terminal-server med TSM-agenten, og som også har administrativ adgang til eksempelvis en SharePoint-server, som de skal servicere, vil kunne misbruge teknikken til at få adgang til alle de data, der måtte have været taget backup af på terminalserveren via TSM.
»Fejlen er, at almindelige brugere på maskinen har adgang til at læse password-værdien.«
Han bemærker i den forbindelse, at der basalt set ikke er behov for, at andre end administratorer og backup-operatører kan tilgå de pågældende værdier i registreringsdatabasen.
»En almindelig bruger har ikke noget at skulle gøre der.«
Kontaktede IBM
Da sikkerhedsfolkene blev opmærksomme på problemet med de tilgængelige TSM-login-informationer, så kontaktede de IBM. Det var tilbage i starten af marts i år. Jakob Heidelberg har publiceret en detaljeret tidslinje i et blogindlæg, der beskriver den løbende dialog med IBM's Product Security Incident Response Team (PSIRT).
Her fremgår det, at de danske sikkerhedsfolk til at starte med gør IBM det klart, at de agter at publicere oplysninger om sårbarheden, når virksomheden er klar med en patch eller en workaround - dog senest 3. maj 2017.
Det fremgår også, at sikkerhedsfolkene i månedsvis må rykke IBM adskillige gange for forskellige svar. Blandt andet i forhold til, om andre styresystemer end Windows kan tænkes også at være berørt af problematikken i forhold til blotlagte credentials.
IBM svarer tilsyneladende i øvrigt aldrig på det med andre systemer end Windows, men det gør en Version2-læser her, hvor det fremgår, at Linux umiddelbart ikke er ramt.
I løbet af dialogen konstaterer IBM pludseligt, at der faktisk er en anden sikkerhedsforsker, Kęstutis Gudinavičius fra SEC Consult, der helt tilbage i september 2016 har gjort virksomheden opmærksom på problemet. Der lader dog først til at komme skred i sagerne, da Heidelberg og Riis begynder at stille IBM i udsigt, at de vil offentliggøre oplysninger om sårbarheden.
De danske sikkerhedsfolk ender med at give IBM yderligere frist i forhold til at gøre noget ved problemet. Det sker i slutningen af maj, hvor teknologi-mastodonten offentliggør en slags midlertidig fiks, som it-administratorer manuelt skal udføre.
Der er altså endnu ikke tale om en egentlig patch til softwaren. En sådan forventer IBM at kunne frigive i løbet af 3. kvartal eller tidligt i 4. kvartal, fremgår det af Heidelbergs tidslinje. Patchen er endnu ikke frigivet.
Det der umiddelbart har overrasket Jakob Heidelberg mest ved forløbet var beskeden om, at sårbarheden allerede var rapporteret til IBM i september 2016. Altså ni måneder før virksomheden når til at udgive en midlertidig løsning på problemet.
»Mit største problem med IBM i forhold til det her er, at vi to måneder efter, vi har rapporteret det til IBM, får at vide, der allerede er en anden researcher, der tilbage i september 2016 har rapporteret det,« siger han.
Men det var altså først, da de danske sikkerhedsforskere, som led i en Responsible Disclosure proces, truede med at offentliggøre detaljer om hullet i 2017, at IBM begyndte at røre på sig.
»Det viser, man bliver nødt til at true med faktisk at offentliggøre detaljer om sårbarheden, før det bliver fikset.«
Han finder det i den forbindelse yderst kritisabelt, at IBM's kunder har været sårbare i forhold til et kendt sikkerhedshul siden september 2016. Og i praksis også lang tid før det, vurderer Heidelberg.
»Denne fejl har højst sandsynlig eksisteret i hele produktets levetid,« siger han.
Midlertidig fiks
IBM's midlertidige løsning på problemet står nærmere beskrevet her.
Det undrer også Jakob Heidelberg, at IBM efter at have kendt til problemet siden september 2016 endnu kun er kommet med en midlertidig løsning.
IBM's midlertidige løsning på problemet er, forklarer Jakob Heidelberg, at administratorerne manuelt skal logge ind på alle servere med TSM-backup-agenten, åbne registreringseditoren i Windows og manuelt ændre tilladelserne til de pågældende nøgler i registreringsdatabasen.
»De kunne i det mindste have frigivet noget, som var nemt at rulle ud i en stor virksomhed,« siger han.
Heidelberg fortæller, han selv har lavet workaround i form af en group-policy-indstilling, der for mange servere på en gang kan begrænse brugeradgangen til de følsomme værdier i registreringsdatabasen.
»Pinligt«
Jakob Heidelberg betegner sikkerhedshullet som pinligt og som nemt at udnytte.
»Jeg tvivler på, at dem, der har kodet det her og publiceret den workaround, kender meget til Windows-sikkerhed,« siger han med henvisning til IBM's TSM-software.
Hvad sikkerhedshuller angår, så hæfter Heidelberg sig desuden ved, at IBM åbenbart ikke har et bug bounty-program på linje med en række andre store it-virksomheder. Altså et program, hvor folk bliver belønnet i kroner og øre for at gøre virksomheden opmærksom på sikkerhedshuller.
»Microsoft, Google og Apple har jo bug bounty-programmer, der gør, at researchere er interesserede i at finde fejl. Men det har IBM som en af de helt store ikke. Og det synes jeg faktisk også er problematisk.«
Version2 har forsøgt at få kommentarer til forløbet fra IBM, det er ikke lykkedes inden deadline. IBM Danmark oplyser, at man arbejder på en tilbagemelding.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
