درخواست IBM از محققان برای سانسور اطلاعات مربوط به یک بهره‌برداری

۱۰شرکت IBM با موفقیت توانست محققان امنیتی را مجبور کند تا در مشاوره‌نامه‌ی مربوط به یک آسیب‌پذیری، بخشی از اطلاعات را قید نکنند و این در حالی بود که حتی وصله‌های مربوط به آسیب‌پذیری نیز در دسترس مشتریان قرار گرفته بود.

جمعه‌ی گذشته، یکی از افراد ایتالیایی infosec با نام ماوریزیو آقازینی۱، جزئیات یک اشکال قابل بهره‌برداری در آخرین ۴ نسخه‌ی میان‌افزار WebSphere شرکت IBM را منتشر کرد. او جزئیات مربوط به اجرای حمله‌ی منع سرویس از طریق مصرف بی‌نهایت منابع را تشریح کرد که در نهایت منجر به اجرای کد از راه دور بر روی سامانه‌ی آسیب‌پذیر خواهد شد.

آقازینی مسئولیت این افشاء را برعهده گرفت و به‌طور خصوصی با IBM همکاری کرد تا برای این آسیب‌پذیری وصله‌ای توسعه دهد. او از ارائه‌ی جزئیات کامل در خصوص این نقص همراه با کد اثبات مفهومی، تا زمانی که این آسیب‌پذیری وصله و برطرف نشده، منع شد.
اما برای او و همکارانش در گروه تحقیقات آسیب‌پذیری Media Service Srl بسیار عجیب بود که رایانامه‌ای از طرف آبی ِ بزرگ۲ دریافت کنند که از آن‌ها بخواهد که بخشی از گزارش نهایی را سانسور کنند.
در این پیام آمده است: «لطفاً در لیست تشریح جزئیات بهره‌برداری، بخش ۲ و ۵ را حذف کنید. IBM نمی‌خواهد مشتریان را در معرض خطر قرار دهد و ما دوست نداریم جزئیات آسیب‌پذیری ذکر شود چرا که می‌تواند برای مشتریان خطرساز باشد.»

بخش ۵ یک پرونده‌ی ZIP است که کد بهره‌برداری را به مشاوره‌نامه ضمیمه کرده است. محتوای این پرونده‌ی ZIP در درخواست IBM حذف شده است. در بخش ۲ این مشاوره‌نامه نیز می‌خوانیم:
حمله می‌تواند با اجرا گام‌های زیر مجدداً انجام شود:
• یک برنامه با یک فرم احراز هویت ویژه بسازید.
• بعد از ورود کاربر، LtpaToken۲ توسط کارگزار برنامه تنظیم می‌شود.
• یک درخواست GET ایجاد کنید که محتوای کوکی آن یکی از مقادیر زیر باشد:
۰۱_BigString_limited_base۶۴.txt
این محتوا یک شیء رشته‌ای است. کارگزار در حالت عادی به این درخواست پاسخ خواهد داد.
۰۲_SerialDOS_limited_base۶۴.txt
کارگزار برنامه تقریباً ۲ دقیقه طول می‌کشد تا این درخواست را با مصرف پردانده‌ی ۱۰۰ درصد، اجرا کند.
۰۳_BigString_base۶۴.txt
این محتوا نیز یک شیء رشته‌ای است و کارگزار در حالت عادی به این درخواست پاسخ خواهد داد.
۰۴_SerialDOS_base۶۴.txt
کارگزار برنامه مدت زمان نامشخصی طول خواهد کشید تا این درخواست را با مصرف پردانده‌ی ۱۰۰ درصد، اجرا کند.

تحقیقات امنیتی نیز مانند سایر حوزه‌های آکادمیک است. انتشار جزئیات یک آسیب‌پذیری در قالب یک اثبات مفهومی بسیار مهم است بخاطر اینکه:
 به برنامه‌نویسان، کاربران و ادمین اجازه می‌دهد تا دقیقاً بفهمد مشکل چه چیزی بوده است.
 تا ببینند یک بهره‌برداری مطمئن چگونه است؟
 بهره‌برداری را در محیط خود تست کنند و ببینند آیا وصله‌ها کافی است؟
 تا از کد زدن‌های اشتباه درس بگیرند و …

مواردی بوده که محققان امنیتی یک نفوذ فاحش و گسترده را پیدا کرده و تصمیم به انتشار اثبات مفهومی آن نگرفته‌اند. اما برای چیز به این کوچکی، واکنش سنگین IBM غیرمعمولی است. وقتی که همکار آقازینی این رایانامه را به زور در توییتر منتشر کرد، کاربران انجمن امنیتی از این مسئله ناراحت شدند.

آبی ِ بزرگ به این وب‌گاه گفت که این شرکت باور دارد که مسئولیت افشاء و انتشار این نقص را برعهده دارد. ما در خصوص این مشکل با آقازینی کار کردیم اما این رایانامه را خصوصی برای او ارسال کردیم چرا که این آسیب‌پذیری افراد را نگران کرده بود و آن زمان وصله‌ای برای برطرف کردن آن وجود نداشت. IBM در ادامه گفت: «هرچند که در حال حاضر وصله در دسترس قرار گرفته است و ما متوجه شدیم که برخی شرکت‌ها همیشه نمی‌توانند فوراً این وصله‌ها را اعمال کنند. هرچند که روال عادی IBM این‌گونه نبوده است اما در این مورد، ما خواستیم تا بخشی از جزئیات این بهره‌برداری ویرایش شود تا از کاربران آسیب‌پذیر حفاظت شده و به آن‌ها فرصت اعمال وصله‌ها داده شود.»
باید اشاره کنیم که مشاوره‌نامه‌ی آقازینی هنوز به‌طور کامل و برخط، بدون کد اثبات مفهومی منتشر شده است.

۱. Maurizio Agazzini
۲. نام مستعار IBM

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.