Software de gerenciamento de dados baseado em IA da IBM sujeito a exploração simples

Um processo de baixo privilégio em uma máquina vulnerável pode permitir a coleta de dados e DoS.

O software de gerenciamento de dados de próxima geração da IBM sofre de uma vulnerabilidade de memória compartilhada que, segundo os pesquisadores, pode levar a outras ameaças – como demonstrado por um novo exploit de prova de conceito para o bug.

O IBM Db2 é uma família de produtos híbridos de gerenciamento de dados contendo inteligência artificial, que pode ser usada para analisar e gerenciar dados estruturados e não estruturados dentro das empresas.

De acordo com pesquisadores da Trustwave, o bug recentemente divulgado (CVE-2020-4414) surge porque os desenvolvedores da plataforma se esqueceram de colocar proteções de memória explícitas em torno da memória compartilhada usada pelo recurso de rastreamento Db2. Se explorado, pode levar à negação de serviço (DoS) ou divulgação de informações.

O recurso de rastreamento é uma função que permite aos usuários isolar certos pontos de dados monitorando parâmetros selecionados. Isso dá aos usuários o que é essencialmente um registro de informações de fluxo de controle (funções e valores de parâmetros associados), que podem ser úteis para fatiar, cortar e separar dados para análise. Como tal, os dados em risco de uma exploração podem ser literalmente qualquer coisa gerada dentro de uma organização alvo. Para um provedor de saúde, por exemplo, os cibercriminosos poderiam fugir com informações de pacientes protegidas pela HIPAA; enquanto isso, uma empresa financeira pode estar em risco de violação dos dados do cartão de crédito.

No front DoS, Karl Sigler, gerente sênior de pesquisa de segurança do SpiderLabs da Trustwave, disse ao Threatpost que “os bancos de dados são frequentemente implantados como sistemas críticos. Um invasor com um ponto de apoio no sistema pode consistentemente derrubar o banco de dados e interromper qualquer sistema que dependa dele e de seus dados. ”

O cerne da questão é que ele permite o escalonamento de privilégios locais e o travamento do dispositivo. A falta de proteções explícitas de memória “permite que qualquer usuário local tenha acesso de leitura e gravação a essa área de memória”, disseram os pesquisadores da Trustwave, em seu artigo de exploração PoC para o bug, publicado na quinta-feira. “Por sua vez, isso permite que eles acessem dados criticamente sensíveis, bem como a capacidade de alterar como o subsistema de rastreamento funciona, resultando em uma condição de negação de serviço no banco de dados.”

Eles acrescentaram: “É desnecessário dizer que ambos não deveriam ser possíveis para usuários regulares”.

Embora tecnicamente um invasor precise ser local, é possível executar remotamente esse processo de baixo privilégio (ou seja, malware) em uma máquina vulnerável para acionar uma exploração: “Processos de baixo privilégio, em execução no mesmo computador que o banco de dados Db2, pode alterar os rastreamentos do Db2 e capturar dados confidenciais – e usar isso mais tarde para ataques subsequentes ”, explicaram os pesquisadores.

PoC lançado

Para explorar o bug, os invasores podem enviar uma solicitação especialmente criada para o recurso de rastreamento.

O PoC da Trustwave começa com o lançamento do Process Explorer ou outra ferramenta semelhante no Windows para verificar as alças abertas do processo principal do Db2. Em seguida, os pesquisadores criaram um aplicativo de console simples que tenta abrir uma determinada seção de memória pelo nome. Assim que estiver em execução, um invasor pode habilitar o rastreamento Db2, que abre a porta para um ataque.

“E agora podemos ver o que foi escrito nessas seções de memória”, de acordo com a análise da Trustwave. “No final, isso significa que um usuário local sem privilégios pode abusar disso para causar uma condição de negação de serviço simplesmente gravando dados incorretos naquela seção de memória … não há absolutamente nenhuma permissão atribuída à memória compartilhada para que qualquer pessoa possa ler e escreva para ele. ”

Martin Rakhmanov, gerente de pesquisa de segurança do SpiderLabs da Trustwave, elaborou o PoC para Threatpost. “Mostro o Process Explorer apenas para ilustrar que a memória compartilhada não está protegida. Não é necessário conduzir o ataque ”, disse ele. “O aplicativo de console apenas lê a memória compartilhada e, portanto, pode acessar informações de rastreamento Db2. Ele pode ser modificado (o aplicativo) para alterar o traço Db2 também. Finalmente, o invasor precisa de um acesso com poucos privilégios ao computador onde o servidor Db2 está sendo executado. ”

Ele acrescentou: “Isso não é o mesmo que ter controle da máquina. Portanto, qualquer pessoa que possa se conectar ao computador onde o servidor Db2 está sendo executado pode ler / alterar o rastreamento Db2, o que não é bom: pelo contrário, a facilidade de rastreamento requer privilégios especiais dentro do Db2, mas a vulnerabilidade permite contorná-lo. ”

Esta vulnerabilidade de memória compartilhada é muito semelhante a uma encontrada no Cisco WebEx Meetings Client no Windows em março (CVE-2020-3347), onde qualquer usuário pode ler a memória dedicada aos dados de rastreamento, explicaram os pesquisadores da Trustwave. Nesse caso, qualquer usuário local mal-intencionado ou processo mal-intencionado em execução em um PC onde o WebEx está instalado pode monitorar o arquivo mapeado de memória para um token de login. Uma vez encontrado, o token, como quaisquer credenciais vazadas, pode ser transmitido para algum lugar para que possa ser usado para fazer o login na conta WebEx em questão, baixar gravações, visualizar / editar reuniões e assim por diante.

Todos os níveis de fix pack das edições IBM Db2 V9.7, V10.1, V10.5, V11.1 e V11.5 em todas as plataformas são afetados por esta falha de memória compartilhada mais recente e os usuários devem atualizar para a versão mais recente para consertar o problema, disse a empresa.

“Este ataque pode ter sido generalizado, já que todas as instâncias do Db2 da versão atual (11.5) no Windows foram afetadas”, observaram os pesquisadores da Trustwave.

Fonte: https://threatpost.com/ibm-ai-powered-data-management-software-subject-exploit/158497/