В начале октября 2016 года независимый исследователь Маурицио Агаззини (Maurizio Agazzini) опубликовал подробную информацию о найденной им уязвимости в WebSphere. Специалист подробно описал DoS-атаку, которая в теории может привести к исполнению произвольного кода в атакуемой системе.

При этом Агаззини соблюдал все правила ответственного раскрытия информации: сообщил об уязвимости специалистам IBM, помог им создать патч, затем дождался выхода «заплатки» и лишь после этого обнародовал информацию о проблеме и код proof-of-concept эксплоита. Каково же было удивление исследователя и его «коллег по цеху», когда представители IBM потребовали подвергнуть информацию об уязвимости цензуре и убрать из открытого доступа код эксплоита.

«Пожалуйста, удалите разделы 2 и 5, в которых содержатся детальные данные об эксплоите. IBM не хочет подвергать своих клиентов риску, поэтому мы НЕ хотим раскрывать подробности работы эксплоита, так как это угрожает безопасности наших клиентов», — гласило письмо, полученное исследователем.

В пятом разделе содержался ZIP-архив с готовым эксплоитом, который в итоге был удален из отчета по требованию IBM. Второй раздел содержал пошаговую инструкцию для воспроизведения атаки на найденную уязвимость:

The attack can be reproduced as follows:

  • create an application with custom form authentication
  • after user login, the LtpaToken2 is set by the application server
  • make a HTTP GET request that contains the WASPostParam cookie with one of these contents:
  • 01_BigString_limited_base64.txt: it’s a string object; the server will reply in a normal way (object size similar to the next one).
  • 02_SerialDOS_limited_base64.txt: the application server will require about 2 minutes to execute the request with 100% CPU usage.
  • 03_BigString_base64.txt it’s a string object; the server will reply in a normal way (object size similar to the next one).
  • 04_SerialDOS_base64.txt: the application server will require an unknown amount of time to execute the request with 100% CPU usage.

Журналисты издания The Register связались с представителями IBM и попросили их прокомментировать эту странную ситуацию, вот что ответили в компании:

«Хотя патч уже вышел, мы понимаем, что многие организации не всегда могут устанавливать патчи незамедлительно. И хотя подобное не является нормальной практикой для IBM, в данном случае мы попросили отредактировать некоторые детали, относящиеся к эксплоиту, чтобы защитить уязвимых пользователей и дать им время установить патч».

Стоит заметить, что другие исследователи в области информационной безопасности не в восторге от такого хода со стороны IBM и советуют компании не подвергать пользователей риску, выпуская своевременные исправления, а не пытаясь цензурировать отчеты экспертов.

Фото: Depositphotos

 

Оставить мнение

Check Also

US-CERT рекомендует отключить SMB из-за потенциальной опасности эксплоитов Shadow Brokers

Новые эксплоиты АНБ, опубликованные группировкой Shadow Brokers, обеспокоили экспертов US-…