4 zeroday pubblicati dopo che IBM non ha acconsentito alla produzione della fix.

Redazione RHC : 26 Aprile 2020 18:04

Il ricercatore di sicurezza Pedro #Ribeiro, direttore della ricerca presso Agile Information Security, ha pubblicato quattro vulnerabilità #zeroday su #GitHub dopo che la #IBM ha #rifiutato la correzione.

Le vulnerabilità rilevate sono sul software IBM Data Risk Manager (#IDRM), che aiuta le aziende a scoprire, analizzare e visualizzare i #rischi aziendali relativi ai dati, di seguito le vulnerabilità rilevate:

1) Authentication Bypass

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

2) Command Injection

3) Insecure Default Password

4) Arbitrary File Download

Le prime tre #vulnerabilità concatenate tra loro, consentono di ottenere l’esecuzione di codice #remoto (RCE) con privilegi massimi di esecuzione.

Sembra strano che un colosso come IBM non abbia dato seguito a queste vulnerabilità, riportando “abbiamo valutato il report che risulta fuori dal nostro programma di #divulgazione poiché questo prodotto è solo per il supporto”, anche se dopo la full-disclosure, 2 bug sono stati corretti.

Perché occorre arrivare a tanto?

#redhotcyber #cybersecurity #ricerca #cvd #disclosure

Four IBM Zero-days Leaked Online After the Company Refused to Patch The Bugs

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli