Thomas Zaffino

IBM oscura i dettagli di un exploit su WebSphere

Big Blue spiega di aver voluto garantire maggiore sicurezza ai propri clienti. Ma è la scelta migliore per il settore?

Roma - Il bug c'è, la patch pure, ma non se ne può parlare liberamente. In una dichiarazione rilasciata alla testata online The Register, IBM ha dichiarato che "anche se la patch è già disponibile, molte organizzazioni non sono in grado di applicarle immediatamente", aggiungendo poi: "Pur non essendo la normale prassi per IBM, nel caso specifico abbiamo chiesto che non venissero rivelati alcuni dettagli allo scopo di proteggere gli utenti vulnerabili e fornire loro il tempo necessario ad applicare la patch". Nella fattispecie, Big Blue si riferisce alla vulnerabilità che concerne il suo Server Application WebSphere scoperta da Maurizio Agazzini, ricercatore nel campo della web security, e da lui sfruttata all'interno di un exploit di cui ha pubblicato successivamente un Proof-of-Concept (PoC) del codice con la comunicazione dell'esistenza di una vulnerabilità nel prodotto IBM, versioni 7.8, 8.5 e 9.

La pubblicazione dei PoC è molto importante, in quanto forniscono ai ricercatori (e agli stessi fornitori, in questo caso IBM) le conoscenze e le risorse necessarie per analizzare ulteriormente la vulnerabilità, porvi rimedio e impedire la realizzazione di exploit che possano sfruttarla per creare danni o per azioni illegali.

Maurizio Agazzini ha collaborato con IBM per risolvere il problema e per divulgare la propria scoperta in maniera responsabile, anche se, come ammesso dal gigante tecnologico, ha subito una specie di oscuramento del suo lavoro anche in seguito al rilascio della patch. Se da un lato la preoccupazione di Big Blue per la sorte dei propri clienti è lodevole, dall'altra questa riservatezza può rivelarsi dannosa per il futuro. Questo tipo di azioni possono infatti scoraggiare i ricercatori indipendenti, come Maurizio Agazzini, nel proseguire nella ricerca di vulnerabilità: cosa che finirebbe per ripercuotersi negativamente sulle stesse aziende.
Sul piano propriamente tecnico, la vulnerabilità si verificherebbe nel momento in cui WebSphere tenta di deserializzare dati non attendibili in presenza del cookie WASPostParam, esponendo l'Application Server ad attacchi di tipo Denial-of-Service (DoS) o all'esecuzione di codice da remoto, con conseguenti danni per il server e la rete dell'azienda attaccata. Al momento della comunicazione della scoperta, la scorsa settimana, Agazzini aveva incluso nella divulgazione i collegamenti ad un pacchetto di exploit che sfruttano la vulnerabilità, pubblicati dopo il rilascio da parte di IBM della patch che risolveva il problema evidenziato. Non soddisfatto, il gigante statunitense ha chiesto ad Agazzini un'autocensura che eliminasse i dettagli necessari all'exploit per sfruttare la vulnerabilità. La richiesta di IBM è stata inoltre rivelata su Twitter da parte di un collega di Agazzini, che ha pubblicato una parte del testo contenuto nell'email inviata da Big Blue al ricercatore.


Anche se non si può parlare di "pressioni" esplicite, tenendo conto della collaborazione durata circa due mesi, si tratta comunque di un'azione poco lungimirante: mancare di fornire tutti i dettagli può ritorcersi contro l'intero ambiente, poiché come detto potrebbe mancare la motivazione a proseguire nel debug del codice conto terzi, ma soprattutto perché non permette a tutti gli addetti ai lavori di farsi un'idea precisa del problema che si trovano ad affrontare.

Thomas Zaffino
Notizie collegate
  • SicurezzaGoogle, quando la disclosure può attendereL'ultimatum della pubblicazione dei dettagli delle falle diventa meno rigido: Mountain View terrà conto dei giorni festivi, e concederà proroghe alle aziende che mostrino buona volontà. Microsoft non è pienamente soddisfatta
  • SicurezzaMercato delle vulnerabilità, i soldi non bastanoI ricercatori studiano il metodo più efficace per incrementare la disclosure delle vulnerabilità nel software e analizzano il mercato delle falle. Un mercato non necessariamente governato dalla legge della domanda e dell'offerta
  • SicurezzaSicurezza, i confini della disclosureDove finisce la descrizione di un bug e dove iniziano i dettagli del codice proprietario che certe aziende vorrebbero restassero riservati? Due security company a confronto
6 Commenti alla Notizia IBM oscura i dettagli di un exploit su WebSphere
Ordina
  • si chiama WebSphere Application Server
    non+autenticato
  • IBM non fa parlare molto di sé, ma ovviamente ha lo stesso grado di marciume che c'è negli altri attori della farsa informatica.
    non+autenticato
  • - Scritto da: CBM
    > IBM non fa parlare molto di sé, ma ovviamente ha
    > lo stesso grado di marciume che c'è negli altri
    > attori della farsa
    > informatica.


    Che i ricercatori indipendenti iniziassero a non farsi più problemi di 'etica' tanto queste aziende ne hanno poca loro stesse, e iniziassero ad offrire la loro ricerca al miglior offerente.

    E quando dico offerente intendo chiunque paghi al meglio del lavoro svolto, che sia grigio, scuro, oppure chiaro!
    non+autenticato
  • - Scritto da: Il fuddaro
    > - Scritto da: CBM
    > > IBM non fa parlare molto di sé, ma ovviamente ha
    > > lo stesso grado di marciume che c'è negli altri
    > > attori della farsa
    > > informatica.
    >
    >
    > Che i ricercatori indipendenti iniziassero a non
    > farsi più problemi di 'etica' tanto queste
    > aziende ne hanno poca loro stesse, e iniziassero
    > ad offrire la loro ricerca al miglior
    > offerente.
    >
    > E quando dico offerente intendo chiunque paghi al
    > meglio del lavoro svolto, che sia grigio, scuro,
    > oppure
    > chiaro!
    oh lo fanno lo fanno. Hai presente di chi era [ha venduto da poco] la Mediaservices srl (aka l'azienda per cui lavora il ricercatore suddetto)?Sorride
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Il fuddaro
    > > - Scritto da: CBM
    > > > IBM non fa parlare molto di sé, ma ovviamente
    > ha
    > > > lo stesso grado di marciume che c'è negli
    > altri
    > > > attori della farsa
    > > > informatica.
    > >
    > >
    > > Che i ricercatori indipendenti iniziassero a non
    > > farsi più problemi di 'etica' tanto queste
    > > aziende ne hanno poca loro stesse, e iniziassero
    > > ad offrire la loro ricerca al miglior
    > > offerente.
    > >
    > > E quando dico offerente intendo chiunque paghi
    > al
    > > meglio del lavoro svolto, che sia grigio, scuro,
    > > oppure
    > > chiaro!
    > oh lo fanno lo fanno. Hai presente di chi era [ha
    > venduto da poco] la Mediaservices srl (aka
    > l'azienda per cui lavora il ricercatore
    > suddetto)?
    >Sorride

    No! Sinceramente sul momento non ricordo di chi era la suddetta azienda.

    Ma basta googlare....
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Il fuddaro
    > > - Scritto da: CBM
    > > > IBM non fa parlare molto di sé, ma ovviamente
    > ha
    > > > lo stesso grado di marciume che c'è negli
    > altri
    > > > attori della farsa
    > > > informatica.
    > >
    > >
    > > Che i ricercatori indipendenti iniziassero a non
    > > farsi più problemi di 'etica' tanto queste
    > > aziende ne hanno poca loro stesse, e iniziassero
    > > ad offrire la loro ricerca al miglior
    > > offerente.
    > >
    > > E quando dico offerente intendo chiunque paghi
    > al
    > > meglio del lavoro svolto, che sia grigio, scuro,
    > > oppure
    > > chiaro!
    > oh lo fanno lo fanno. Hai presente di chi era [ha
    > venduto da poco] la Mediaservices srl (aka
    > l'azienda per cui lavora il ricercatore
    > suddetto)?
    >Sorride

    Cazzo!!! Non c'è stato nemmeno il bisogno di googlare, mi è venuto immediatamente vedendo il nick(che di fretta non avevo notato)Raptor, per capire di chi è la citata azienda.

    Certo come ho fatto ha non capirlo? Non sono mica Aphex_maya, cribbio, anche il solo averci a che fare tra dei monitor ti rende mezzo scemo come loro.Sorride

    Minchia, se devi stare lontano da qualcuno.... è proprio da quel qualcuno che devi stare lontano!
    non+autenticato