شرکت IBM با موفقیت توانست محققان امنیتی را مجبور کند تا در مشاورهنامهی مربوط به یک آسیبپذیری، بخشی از اطلاعات را قید نکنند و این در حالی بود که حتی وصلههای مربوط به آسیبپذیری نیز در دسترس مشتریان قرار گرفته بود.
جمعهی گذشته، یکی از افراد ایتالیایی infosec با نام ماوریزیو آقازینی۱، جزئیات یک اشکال قابل بهرهبرداری در آخرین ۴ نسخهی میانافزار WebSphere شرکت IBM را منتشر کرد. او جزئیات مربوط به اجرای حملهی منع سرویس از طریق مصرف بینهایت منابع را تشریح کرد که در نهایت منجر به اجرای کد از راه دور بر روی سامانهی آسیبپذیر خواهد شد.
آقازینی مسئولیت این افشاء را برعهده گرفت و بهطور خصوصی با IBM همکاری کرد تا برای این آسیبپذیری وصلهای توسعه دهد. او از ارائهی جزئیات کامل در خصوص این نقص همراه با کد اثبات مفهومی، تا زمانی که این آسیبپذیری وصله و برطرف نشده، منع شد.
اما برای او و همکارانش در گروه تحقیقات آسیبپذیری Media Service Srl بسیار عجیب بود که رایانامهای از طرف آبی ِ بزرگ۲ دریافت کنند که از آنها بخواهد که بخشی از گزارش نهایی را سانسور کنند.
در این پیام آمده است: «لطفاً در لیست تشریح جزئیات بهرهبرداری، بخش ۲ و ۵ را حذف کنید. IBM نمیخواهد مشتریان را در معرض خطر قرار دهد و ما دوست نداریم جزئیات آسیبپذیری ذکر شود چرا که میتواند برای مشتریان خطرساز باشد.»
بخش ۵ یک پروندهی ZIP است که کد بهرهبرداری را به مشاورهنامه ضمیمه کرده است. محتوای این پروندهی ZIP در درخواست IBM حذف شده است. در بخش ۲ این مشاورهنامه نیز میخوانیم:
حمله میتواند با اجرا گامهای زیر مجدداً انجام شود:
• یک برنامه با یک فرم احراز هویت ویژه بسازید.
• بعد از ورود کاربر، LtpaToken۲ توسط کارگزار برنامه تنظیم میشود.
• یک درخواست GET ایجاد کنید که محتوای کوکی آن یکی از مقادیر زیر باشد:
۰۱_BigString_limited_base۶۴.txt
این محتوا یک شیء رشتهای است. کارگزار در حالت عادی به این درخواست پاسخ خواهد داد.
۰۲_SerialDOS_limited_base۶۴.txt
کارگزار برنامه تقریباً ۲ دقیقه طول میکشد تا این درخواست را با مصرف پرداندهی ۱۰۰ درصد، اجرا کند.
۰۳_BigString_base۶۴.txt
این محتوا نیز یک شیء رشتهای است و کارگزار در حالت عادی به این درخواست پاسخ خواهد داد.
۰۴_SerialDOS_base۶۴.txt
کارگزار برنامه مدت زمان نامشخصی طول خواهد کشید تا این درخواست را با مصرف پرداندهی ۱۰۰ درصد، اجرا کند.
تحقیقات امنیتی نیز مانند سایر حوزههای آکادمیک است. انتشار جزئیات یک آسیبپذیری در قالب یک اثبات مفهومی بسیار مهم است بخاطر اینکه:
به برنامهنویسان، کاربران و ادمین اجازه میدهد تا دقیقاً بفهمد مشکل چه چیزی بوده است.
تا ببینند یک بهرهبرداری مطمئن چگونه است؟
بهرهبرداری را در محیط خود تست کنند و ببینند آیا وصلهها کافی است؟
تا از کد زدنهای اشتباه درس بگیرند و …
مواردی بوده که محققان امنیتی یک نفوذ فاحش و گسترده را پیدا کرده و تصمیم به انتشار اثبات مفهومی آن نگرفتهاند. اما برای چیز به این کوچکی، واکنش سنگین IBM غیرمعمولی است. وقتی که همکار آقازینی این رایانامه را به زور در توییتر منتشر کرد، کاربران انجمن امنیتی از این مسئله ناراحت شدند.
آبی ِ بزرگ به این وبگاه گفت که این شرکت باور دارد که مسئولیت افشاء و انتشار این نقص را برعهده دارد. ما در خصوص این مشکل با آقازینی کار کردیم اما این رایانامه را خصوصی برای او ارسال کردیم چرا که این آسیبپذیری افراد را نگران کرده بود و آن زمان وصلهای برای برطرف کردن آن وجود نداشت. IBM در ادامه گفت: «هرچند که در حال حاضر وصله در دسترس قرار گرفته است و ما متوجه شدیم که برخی شرکتها همیشه نمیتوانند فوراً این وصلهها را اعمال کنند. هرچند که روال عادی IBM اینگونه نبوده است اما در این مورد، ما خواستیم تا بخشی از جزئیات این بهرهبرداری ویرایش شود تا از کاربران آسیبپذیر حفاظت شده و به آنها فرصت اعمال وصلهها داده شود.»
باید اشاره کنیم که مشاورهنامهی آقازینی هنوز بهطور کامل و برخط، بدون کد اثبات مفهومی منتشر شده است.
۱. Maurizio Agazzini
۲. نام مستعار IBM
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.