اعترفت شركة IBM بالعديد من العيوب في أحد منتجاتها الأمنية بعد أن نفت في البداية تقارير عن أي ثغرات.
أثرت الثغرات الأمنية على IBM Data Risk Manager (IDRM) الذي يجمع الخلاصات من أدوات فحص الثغرات وغيرها من أجهزة إدارة المخاطر بحيث يمكن للمشرفين التحقيق في مشكلات الأمان وعزلها باستمرار.
أقرت شركة IBM بأن ثلاثة من أصل أربع نقاط ضعف خطيرة أبلغ عنها بيدرو ريبيرو من Agile Information Security كجزء من عمليات الكشف لفريق الولايات المتحدة للاستجابة لحالات طوارئ الكمبيوتر (CERT)
يمكن ربط ثلاثة من الأخطاء الأربعة معًا لتنفيذ التعليمات البرمجية عن بُعد بدون مصادقة باستخدام حقوق مستخدم الجذر.
ثغرات يوم الصفر
وقال ريبيرو إن IRDM هو منتج أمان مؤسسي يتعامل مع المعلومات الحساسة وأي تسوية على مثل هذا المنتج يمكن أن تؤدي إلى تسوية شاملة للشركة حيث أن الأداة لديها أوراق اعتماد للوصول إلى أدوات الأمان الأخرى ، إلى جانب احتواء معلومات حول نقاط الضعف الحرجة التي تؤثر على IBM. .
وأضاف الباحث أنه وجد الأخطاء في IDRM وعمل مع فريق CERT لإبلاغ IBM بالمشكلات من خلال برنامج الكشف الرسمي عن ثغرة الأخطاء. ومع ذلك ، على الرغم من شدة الأخطاء ، لم تقبل شركة IBM محاولة الكشف.
أشارت استجابة IBM إلى أن تقرير الثغرات كان خارج نطاق برنامج الشركة للكشف عن الثغرات الأمنية لأن المنتج كان فقط لدعم محسّن للعملاء. من جانبه ، يقول ريبييرو إنه غير متأكد مما يعنيه الجواب من حيث ما إذا كان التقرير قد تم قبوله أو إذا كان المنتج خارج الدعم.
وقال ريبيرو: "إن هذا رد لا يصدق من قبل شركة آي بي إم ، التي تبلغ قيمتها مليارات الدولارات وتبيع منتجات المؤسسات الأمنية والاستشارات الأمنية للشركات الضخمة في جميع أنحاء العالم".
في رد عبر البريد الإلكتروني على ZDNet ، أعربت شركة IBM عن أسفها بشأن كيفية نشوء الحادث وادعت أن خطأ في العملية تسبب في استجابة غير لائقة للباحث. وقال البريد الإلكتروني: "لقد عملنا على خطوات التخفيف وسيتم مناقشتها في إرشاد أمني سيصدر".
عبر: ZDNet
