IBM, une faille dans le logiciel de gestion de données Db2

La nouvelle génération de logiciel de gestion de données d’IBM souffre d’une vulnérabilité de mémoire partagée qui, selon les chercheurs, pourrait mener à d’autres menaces – comme le montre la preuve d’un concept d’un nouvel exploit pour la faille de sécurité.

IBM Db2 est une famille de produits hybrides de gestion de données contenant de l’intelligence artificielle, qui peuvent être utilisés pour analyser et gérer des données structurées et non structurées au sein des entreprises.

Selon des chercheurs de Trustwave, la faille récemment divulguée (CVE-2020-4414) est causée par le fait que les développeurs de la plate-forme ont oublié de mettre des protections de mémoire explicites autour de la mémoire partagée utilisée par la capacité de traçage d’IBM Db2. Si elle est exploitée, la faille peut conduire à un déni de service (DoS) ou à une divulgation d’informations.

La capacité de traçage est une fonction qui permet aux utilisateurs d’isoler certains points de données en surveillant les paramètres sélectionnés. Cela donne aux utilisateurs ce qui est essentiellement un journal des informations de flux de contrôle (fonctions et valeurs de paramètres associées), ce qui peut être utile pour découper et séparer les données à analyser. En tant que telles, les données menacées par un exploit peuvent être littéralement tout ce qui est généré au sein d’une organisation ciblée.

ibm

Pour un fournisseur de soins de santé, par exemple, les cybercriminels pourraient s’en tirer avec des informations sur les patients protégées par la HIPAA, une société qui manipule des données financières pourrait quant à elle être exposée à un risque de violation des données de carte de crédit.

Pour ce qui est du déni de service, Karl Sigler, responsable principal de la recherche en sécurité pour SpiderLabs chez Trustwave, a déclaré que «les bases de données sont souvent déployées en tant que système critique. Un attaquant ayant un pied dans le système pourrait systématiquement faire tomber la base de données et interrompre tout système qui en dépend. »

Le cœur du problème est que la faille permet une élévation des privilèges locaux et une panne de l’appareil. L’absence de protections de mémoire «permet à tous les utilisateurs locaux d’accéder en lecture et en écriture à cette zone de mémoire», ont déclaré les chercheurs de Trustwave, dans leur rédaction de la preuve de concept de la faille. «En retour, cela leur permet d’accéder à des données extrêmement sensibles ainsi que la possibilité de modifier le fonctionnement du sous-système de trace, ce qui entraîne une condition de déni de service dans la base de données.»

Ils ont ajouté: “Inutile de dire que les deux ne devraient pas être possibles pour les utilisateurs réguliers.”

Alors que techniquement un attaquant doit être local, il est possible d’exécuter à distance un tel processus à faible privilège (c’est-à-dire un malware) sur une machine vulnérable pour déclencher un exploit: «Un processus à faible privilège, s’exécutant sur le même ordinateur que la base de données IBM Db2, peut modifier les traçages Db2 et capturer des données sensibles – et les utiliser plus tard pour des attaques ultérieures », ont expliqué les chercheurs.

Preuve de concept de la faille du logiciel d’IBM

Pour exploiter la faille, les pirates informatiques peuvent envoyer une requête spécialement conçue à la fonction de trace.

La preuve de concept de Trustwave commence par le lancement de Process Explorer ou de tout autre outil similaire dans Windows pour vérifier les manipulations du processus principal Db2. Ensuite, les chercheurs ont créé une application console simple qui tente d’ouvrir une section de mémoire donnée en utilisant son nom. Une fois que cela est en cours, un hacker peut activer le traçage d’IBM Db2, ce qui ouvre la porte à une attaque.

«Et maintenant, nous pouvons voir ce qui a été écrit dans ces sections de mémoire», selon l’analyse de Trustwave. «En fin de compte, cela signifie qu’un utilisateur local non privilégié peut en abuser pour provoquer une condition de déni de service simplement en écrivant des données incorrectes sur cette section de mémoire … il n’y a absolument aucune permission attribuée à la mémoire partagée donc tout le monde peut lire et écrire dessus.

Martin Rakhmanov, responsable de la recherche en sécurité pour SpiderLabs chez Trustwave, a fourni plus de détails sur l’exploit. «Je montre Process Explorer juste pour illustrer que la mémoire partagée n’est pas protégée. Il n’est pas du tout nécessaire de mener l’attaque », a-t-il déclaré. «L’application console lit simplement la mémoire partagée et peut ainsi accéder aux informations de traçage d’IBM Db2. Elle peut être modifiée (l’application) pour changer également le traçage de Db2. Enfin, l’attaquant a besoin d’un accès à faibles privilèges à l’ordinateur sur lequel le serveur IBM Db2 est exécuté. »

Il a ajouté: «Ce n’est pas la même chose que d’avoir le contrôle de la machine. Ainsi, toute personne qui peut se connecter à l’ordinateur sur lequel le serveur Db2 est exécuté peut lire/modifier le traçage Db2, ce qui n’est pas bon: au contraire, la fonction de traçage nécessite des privilèges spéciaux à l’intérieur de Db2 mais la vulnérabilité permet de contourner cela.

insider

Cette vulnérabilité de mémoire partagée est très similaire à celle trouvée dans le client Cisco WebEx Meetings sur Windows en Mars (CVE-2020-3347), où tout utilisateur pouvait lire la mémoire dédiée aux données de traçage, ont expliqué les chercheurs de Trustwave. Dans ce cas, tout utilisateur local malveillant ou processus malveillant s’exécutant sur un PC sur lequel WebEx est installé peut surveiller le fichier mappé en mémoire à la recherche d’un jeton de connexion. Une fois trouvé, le jeton, comme toutes les informations d’identification divulguées, peut être transmis quelque part afin de pouvoir être utilisé pour se connecter au compte WebEx en question, télécharger des enregistrements, afficher/modifier des réunions, etc.

Toutes les versions des éditions IBM Db2 V9.7, V10.1, V10.5, V11.1 et V11.5 sur toutes les plates-formes sont affectés par cette dernière faille de mémoire partagée, et les utilisateurs doivent mettre à jour vers la dernière version pour résoudre le problème, a déclaré IBM.

«Cette attaque aurait pu être généralisée, car toutes les instances d’IBM Db2 de la version à jour (11.5) sur Windows ont été affectées», ont noté les chercheurs de Trustwave.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x