Sårbarhed kendt i måneder: IBM reagerer først efter trussel om offentliggørelse fra V2-blogger

ignorere hund sove
Siden september 2016 har IBM kendt til en potentielt alvorlig sårbarhed i det udbredte softwareprodukt Tivoli Storage Management (TSM). Men først for nylig har den globale teknologi-mastodont frigivet oplysninger om, hvordan kunder kan beskytte sig.

Siden september 2016 har IBM kendt til en potentielt alvorlig sårbarhed i virksomhedens udbredte softwareprodukt Tivoli Storage Management (TSM). Men først for nylig har den globale teknologi-mastodont frigivet oplysninger om problemet, og om hvordan kunder kan beskytte sig.

Det er sket, efter Version2-blogger og CEO i sikkerhedsvirksomheden Improsec Jakob Heidelberg sammen med sin kollega Flemming Riis truede IBM med at offentliggøre detaljer om sikkerhedsproblemet.

De to sikkerhedsfolk stødte på sårbarheden i IBM's backup-software, da de testede sikkerheden (pentest) hos en kunde. Her opdagede Riis og Heidelberg, at login-oplysningerne til storageløsningen lå frit tilgængelige i registreringsdatabasen på en server. Vel at mærke for alle brugere, der kan logge på systemet og ikke kun eksempelvis admin-kontoen.

Version2-blogger og CEO i sikkerhedsvirksomheden Improsec Jakob Heidelberg har sammen med kollega Flemming Riis presset IBM til at gøre noget ved et sikkerhedshul i virksomhedens backup-software.

Jakob Heidelberg forklarer, at hullet eksempelvis kan udnyttes, hvis en bruger laver en fjernopkobling til en Citrix-server, og der samtidig kører en TMS-agent på serveren.

Så kan de enkelte brugere tilgå TSM-login-oplysningerne i registreringsdatabasen.

Når man så logger på sin computer på arbejde, kan man installere IBM TSM-backup-agenten og indlæse node- og password-info i Windows-installationens registreringsdatabase samt TSM-serverens ip-adresse.

Det kræver, man er admin på den lokale pc, men så kan hele backuppen fra eksempelvis Citrix-serveren med TSM-installationen også gendannes.

»Så hvis direktøren eller it-administratoren har været logget på maskinen også, så vil jeg kunne se alt muligt, jeg ikke burde kunne se.«

Jakob Heidelberg forklarer, at eksterne konsulenter, der eksempelvis via en terminal-server med TSM-agenten, og som også har administrativ adgang til eksempelvis en SharePoint-server, som de skal servicere, vil kunne misbruge teknikken til at få adgang til alle de data, der måtte have været taget backup af på terminalserveren via TSM.

»Fejlen er, at almindelige brugere på maskinen har adgang til at læse password-værdien.«

Han bemærker i den forbindelse, at der basalt set ikke er behov for, at andre end administratorer og backup-operatører kan tilgå de pågældende værdier i registreringsdatabasen.

»En almindelig bruger har ikke noget at skulle gøre der.«

Kontaktede IBM

Da sikkerhedsfolkene blev opmærksomme på problemet med de tilgængelige TSM-login-informationer, så kontaktede de IBM. Det var tilbage i starten af marts i år. Jakob Heidelberg har publiceret en detaljeret tidslinje i et blogindlæg, der beskriver den løbende dialog med IBM's Product Security Incident Response Team (PSIRT).

Her fremgår det, at de danske sikkerhedsfolk til at starte med gør IBM det klart, at de agter at publicere oplysninger om sårbarheden, når virksomheden er klar med en patch eller en workaround - dog senest 3. maj 2017.

Det fremgår også, at sikkerhedsfolkene i månedsvis må rykke IBM adskillige gange for forskellige svar. Blandt andet i forhold til, om andre styresystemer end Windows kan tænkes også at være berørt af problematikken i forhold til blotlagte credentials.

IBM svarer tilsyneladende i øvrigt aldrig på det med andre systemer end Windows, men det gør en Version2-læser her, hvor det fremgår, at Linux umiddelbart ikke er ramt.

IBM TSM registry read all users
Jakob Heidelberg og Flemming Riis opdagede, at loginoplysninger til IBM's Tivoli Storage Management-software kan udlæses fra Windows-registreringsdatabasen af uvedkommende. (Kilde: Jakob Heidelberg)

I løbet af dialogen konstaterer IBM pludseligt, at der faktisk er en anden sikkerhedsforsker, Kęstutis Gudinavičius fra SEC Consult, der helt tilbage i september 2016 har gjort virksomheden opmærksom på problemet. Der lader dog først til at komme skred i sagerne, da Heidelberg og Riis begynder at stille IBM i udsigt, at de vil offentliggøre oplysninger om sårbarheden.

De danske sikkerhedsfolk ender med at give IBM yderligere frist i forhold til at gøre noget ved problemet. Det sker i slutningen af maj, hvor teknologi-mastodonten offentliggør en slags midlertidig fiks, som it-administratorer manuelt skal udføre.

Der er altså endnu ikke tale om en egentlig patch til softwaren. En sådan forventer IBM at kunne frigive i løbet af 3. kvartal eller tidligt i 4. kvartal, fremgår det af Heidelbergs tidslinje. Patchen er endnu ikke frigivet.

Det der umiddelbart har overrasket Jakob Heidelberg mest ved forløbet var beskeden om, at sårbarheden allerede var rapporteret til IBM i september 2016. Altså ni måneder før virksomheden når til at udgive en midlertidig løsning på problemet.

»Mit største problem med IBM i forhold til det her er, at vi to måneder efter, vi har rapporteret det til IBM, får at vide, der allerede er en anden researcher, der tilbage i september 2016 har rapporteret det,« siger han.

Men det var altså først, da de danske sikkerhedsforskere, som led i en Responsible Disclosure proces, truede med at offentliggøre detaljer om hullet i 2017, at IBM begyndte at røre på sig.

»Det viser, man bliver nødt til at true med faktisk at offentliggøre detaljer om sårbarheden, før det bliver fikset.«

Han finder det i den forbindelse yderst kritisabelt, at IBM's kunder har været sårbare i forhold til et kendt sikkerhedshul siden september 2016. Og i praksis også lang tid før det, vurderer Heidelberg.

»Denne fejl har højst sandsynlig eksisteret i hele produktets levetid,« siger han.

Midlertidig fiks

IBM's midlertidige løsning på problemet står nærmere beskrevet her.

Det undrer også Jakob Heidelberg, at IBM efter at have kendt til problemet siden september 2016 endnu kun er kommet med en midlertidig løsning.

IBM's midlertidige løsning på problemet er, forklarer Jakob Heidelberg, at administratorerne manuelt skal logge ind på alle servere med TSM-backup-agenten, åbne registreringseditoren i Windows og manuelt ændre tilladelserne til de pågældende nøgler i registreringsdatabasen.

»De kunne i det mindste have frigivet noget, som var nemt at rulle ud i en stor virksomhed,« siger han.

Heidelberg fortæller, han selv har lavet workaround i form af en group-policy-indstilling, der for mange servere på en gang kan begrænse brugeradgangen til de følsomme værdier i registreringsdatabasen.

»Pinligt«

Jakob Heidelberg betegner sikkerhedshullet som pinligt og som nemt at udnytte.

»Jeg tvivler på, at dem, der har kodet det her og publiceret den workaround, kender meget til Windows-sikkerhed,« siger han med henvisning til IBM's TSM-software.

Hvad sikkerhedshuller angår, så hæfter Heidelberg sig desuden ved, at IBM åbenbart ikke har et bug bounty-program på linje med en række andre store it-virksomheder. Altså et program, hvor folk bliver belønnet i kroner og øre for at gøre virksomheden opmærksom på sikkerhedshuller.

»Microsoft, Google og Apple har jo bug bounty-programmer, der gør, at researchere er interesserede i at finde fejl. Men det har IBM som en af de helt store ikke. Og det synes jeg faktisk også er problematisk.«

Version2 har forsøgt at få kommentarer til forløbet fra IBM, det er ikke lykkedes inden deadline. IBM Danmark oplyser, at man arbejder på en tilbagemelding.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (8)

Kommentarer (8)
Anne-Marie Krogsbøll

.....

"login-oplysningerne til storageløsningen lå frit tilgængelige i registreringsdatabasen på en server. "

For en ikke-fagmand lyder det mærkeligt, at det skulle være et stort problem at sløse. Men det er der nok en god forklaring på (?).

Endnu mere foruroligende er det, at Region Hovedstaden netop i disse dage skriver under på en aftale om forskningssamarbejde med IBM, hvor Watson Health med brug af vore alle sammens sundhedsdata i Sundhedsplatformen skal forske i et eller andet. Regionen skal betale mange millioner for dette samarbejde (foreløbig 30 millioner, ud over at lægge private og værdifulde sundhedsdata til), og det står ligefrem i oplægget, at der er en risiko for, at der ikke kommer noget brugbart ud af samarbejdet. Vi skal bare - koste hvad det koste vil - være forsøgsdyr for alverdens multibillion-selskaber:
"”Hovedstadsregionen skal være et af de fem mest foretrukne steder i verden til udvikling af sundheds- og velfærdsløsninger til det globale marked”."
https://www.regionh.dk/politik/nye-moeder/Documents/RR%20DO%2013.06.2017... (pkt. 25)

Og nu kan vi så oven i dette spekulere på, om IBM mon er bedre til at passe på vore meget følsomme data, når først de ligger i Watson Health?

Det får vi nok svaret på, den dag de er blevet offentliggjort på en eller anden obskur hjemmeside.

Timo Jensen

På mit arbejde logger "man" ikke på en PC der administrerer TSM. Det sker fra en dedikeret PC, på et dedikeret net, hvor kun dedikerede admins kan logge på .

Selvfølgelig kan de lave ravage i den, hvis de vil. Men kan alle admins ikke det?

Er det normal praksis i virksomheder der er store nok til at bruge TSM, at direktøren og admin bruger den samme PC, på samme netværk? Hvis svaret er ja, så kan jeg godt komme i tvivl om hvor den største risiko er.

Timo Jensen

Jeg ville ikke være så nervøs for at TSM problemet smitter af på Watson. Watson er noget helt helt andet.

Region Hovedstadens kommende projekter er meget fremsynet, og det er på tide der sker noget i Danmark.

Jeg forsøgte at skabe interesse for noget lignende for 4-5 år siden, da jeg var medlem af regionsrådet for Region Sjalland. Desværre formåede jeg ikke at skabe forståelse for hvad Big Data kan gøre for os.

En af grundene til det er spændende, er at IBM er langt foran konkurrenter, og bl.a. har de på en fødeafdeling i USA, nedsat dødeligheden for for tidligt fødte børn, med 15%, blot ved at overvåge børnene, læse alle observationer, og sammenligne med alle tilgængelige videnskabelige artikler. Og på baggrund heraf foreslår Watson en diagnose, som en læge kan efterprøve. Det lyder enkelt, men er temmeligt kompliceret.

Jeg ser frem til resultaterne fra hovedstaden, og håber de kan bredes ud i resten af landet, når nu det kun er der man har set lyset.

Anne-Marie Krogsbøll

Timo Jensen:

Tak for svar.

Selv om Watson er noget helt andet, så siger historien i artiklen jo noget om IBM's holdning til datasikkerhed - det er der bekymringen kan komme ind.

Mht. Watsons dyder så mangler jeg fortsat, at man tager stilling til de helt grundlæggende ting, som udnyttelsen af disse kræver: Opgivelse af retten til privatliv, accept af kommerciel udnyttelse af vore private data, uafklarede forhold omkring ejendomsretten til data, kvaliteten af algoritmerne og den manglende indsigt i disse osv. osv. Hele det uoverskuelige problem med, at med data og algoritmer kommer magt, som det kan være svært for demokratiet at tøjle.

Hele den uafklarede Pandoras æske, som vi åbner med disse tiltag, den undlader man behændigt overhovedet at nævne - endsige tage stilling til. Klavs Birkholm har netop skrevet et godt indlæg om dette:
http://www.klavsbirkholm.dk/2017/06/09/digitalisering-og-demokrati-algor...

Jakob H. Heidelberg Blogger

På mit arbejde logger "man" ikke på en PC der administrerer TSM. Det sker fra en dedikeret PC, på et dedikeret net, hvor kun dedikerede admins kan logge på .

Det lyder godt. Hvordan kommunikerer TSM agenten så med backend? Det er agenten der er sårbar, ikke backend (i denne omgang).

Selvfølgelig kan de lave ravage i den, hvis de vil. Men kan alle admins ikke det?

Det kommer da an på hvad du lægger i begrebet "admins", det kan jo være alt fra admin over et fildrev til domain admin etc, - og så er der forskel på hvor høj grad af ravage man kan lave.

Her er problematikken basalt set, at en almindelig uprivilegeret bruger, kan få adgang til data, som vedkommende ikke skal have, samt muligvis opnå privilegerede rettigheder i miljøet. Er det ikke også slemt og et brud på reglerne på din arbejdsplads?

Er det normal praksis i virksomheder der er store nok til at bruge TSM, at direktøren og admin bruger den samme PC, på samme netværk? Hvis svaret er ja, så kan jeg godt komme i tvivl om hvor den største risiko er.

Terminal Servere og Citrix farme m.v. anvendes mange steder. Der skelnes sjældent mellem høj og lav. Dertil er det jo ikke kun scenariet med almindelig bruger vs. direktør der her er tale om.

Jakob H. Heidelberg Blogger

Selv om Watson er noget helt andet, så siger historien i artiklen jo noget om IBM's holdning til datasikkerhed - det er der bekymringen kan komme ind.

Absolut. Så længe vi taler en virksomhed, der undlader at lappe sikkerhedshuller/sårbarheder, lige så lang tid de har succes med at holde informationen tæt til kroppen - og dermed lader kunderne være i farezonen længere end højst nødvendigt - og et firma, der ikke tilbyder sikkerheds-researchere bug bounty for at finde sårbarheder, som de fleste af de store velansete softwarehuse gør det, så er er der bestemt grund til bekymring. Yderligere taler vi et firma, som når de skal frigive en workaround til deres enterprise kunder, publicerer en manuel løsning [doh!]... Der er altså plads til forbedring på sikkerhedsområdet her.

P.S. Mit firma, Improsec, finder ikke sårbarheder for bug bounty. Vi har en helt anden forretningsmodel, så det er ikke penge, det drejer sig om for mig.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017