В начале октября 2016 года независимый исследователь Маурицио Агаззини (Maurizio Agazzini) опубликовал подробную информацию о найденной им уязвимости в WebSphere. Специалист подробно описал DoS-атаку, которая в теории может привести к исполнению произвольного кода в атакуемой системе.
При этом Агаззини соблюдал все правила ответственного раскрытия информации: сообщил об уязвимости специалистам IBM, помог им создать патч, затем дождался выхода «заплатки» и лишь после этого обнародовал информацию о проблеме и код proof-of-concept эксплоита. Каково же было удивление исследователя и его «коллег по цеху», когда представители IBM потребовали подвергнуть информацию об уязвимости цензуре и убрать из открытого доступа код эксплоита.
«Пожалуйста, удалите разделы 2 и 5, в которых содержатся детальные данные об эксплоите. IBM не хочет подвергать своих клиентов риску, поэтому мы НЕ хотим раскрывать подробности работы эксплоита, так как это угрожает безопасности наших клиентов», — гласило письмо, полученное исследователем.
В пятом разделе содержался ZIP-архив с готовым эксплоитом, который в итоге был удален из отчета по требованию IBM. Второй раздел содержал пошаговую инструкцию для воспроизведения атаки на найденную уязвимость:
- create an application with custom form authentication
- after user login, the LtpaToken2 is set by the application server
- make a HTTP GET request that contains the WASPostParam cookie with one of these contents:
- 01_BigString_limited_base64.txt: it's a string object; the server will reply in a normal way (object size similar to the next one).
- 02_SerialDOS_limited_base64.txt: the application server will require about 2 minutes to execute the request with 100% CPU usage.
- 03_BigString_base64.txt it's a string object; the server will reply in a normal way (object size similar to the next one).
- 04_SerialDOS_base64.txt: the application server will require an unknown amount of time to execute the request with 100% CPU usage.
Журналисты издания The Register связались с представителями IBM и попросили их прокомментировать эту странную ситуацию, вот что ответили в компании:
«Хотя патч уже вышел, мы понимаем, что многие организации не всегда могут устанавливать патчи незамедлительно. И хотя подобное не является нормальной практикой для IBM, в данном случае мы попросили отредактировать некоторые детали, относящиеся к эксплоиту, чтобы защитить уязвимых пользователей и дать им время установить патч».
Стоит заметить, что другие исследователи в области информационной безопасности не в восторге от такого хода со стороны IBM и советуют компании не подвергать пользователей риску, выпуская своевременные исправления, а не пытаясь цензурировать отчеты экспертов.
IBM trying to censor researchers in 2016 deserves to be publicly shamed ? pic.twitter.com/a8iYoUbeu5
— raptor (@0xdeadb) October 13, 2016
Dear @IBM,
— Jonathan Zdziarski (@JZdziarski) October 13, 2016
Your customers were already at risk. You put them there through insecure programming. Please stop shaming researchers and fix. https://t.co/SF43vySbFM
Фото: Depositphotos
