IBM이 취약점을 제보한 연구팀에 별다른 응답을 하지 않다가 뒤늦게 보안 권고문을 발표했다. 회사는 "프로세스 상의 오류"로 발생했을 뿐 거부한 게 아니라고 해명했다.
애자일 인포메이션 시큐리티의 연구 총괄인 페드로 리베이로는 'IBM 데이터 리스크 매니저' 관련 4개의 취약점 정보를 21일(현지시간) 깃허브에 공개했다. IDRM은 취약점 탐색 도구, 위험 관리 도구에서 수집된 피드를 통합 관리하는 보안 솔루션이다.
리베이로는 "IDRM은 기업의 민감한 정보를 다루는 보안 제품"이라며, 취약점 정보뿐만 아니라 다른 보안 도구에 접근할 수 있는 자격증명 정보를 보유하고 있기 때문에 IDRM의 취약성이 곧 기업 시스템 전체의 취약성으로 확장될 수 있다"고 지적했다.
리베이로는 카네기 멜론 대학교의 침해사고대응(CERT)/조정센터(CC)와 협력해 IBM에 제로데이 정보를 공유했다. ▲IDRM 인증 메커니즘 우회 ▲IDRM API 중 앱에서의 공격자의 명령을 실행할 수 있게 하는 취약점 ▲하드코딩된 사용자 계정 정보 ▲해커가 원격으로 파일을 내려받을 수 있게 하는 IDRM API 취약점 등에 대한 정보들이다.
리베이로는 "이 취약점들을 활용해 인증 우회 및 원격 코드 실행(RCE), 임의 파일 다운로드가 가능하며 이를 실행할 수 있게 하는 메타스플로이트 모듈 두 개도 공개돼 있다"고 설명했다.
이들이 IBM에 제로데이 정보를 공유했을 때, IBM은 제로데이 보고서에 대한 응답을 거부했다. IBM 내부 정책 상 IDRM이 취약점 공개 프로그램의 범위를 벗어났다는 것. 고객사의 '향상된(enhanced)' 지원을 제공하는 것이기 때문이라는 이유를 들었다.
리베이로 측은 이 답변에 대해 여러 의문점을 제시했다. 취약점 보고서를 왜 수용하지 않는지, 고객사의 제보만 받겠다는 것인지, 제품이 취약점에 대한 기술지원을 받지 못한다면 왜 계속 제품이 판매되고 있는 것인지 등에 대해 납득하기 어렵다는 것이다.
관련기사
- IBM, 레드햇 덕에 클라우드 매출 19% 성장2020.04.22
- IBM, 코로나19 대유행에 '코볼' 가르친다2020.04.22
- IBM "가장 많은 선택지를 가진 클라우드"2020.04.22
- IBM, 최대 규모 유방암 사진 활용한 'AI 진단 모델' 개발2020.04.22
IDRM 제로데이 패치를 거부했다는 소식이 기사화되자 IBM은 "프로세스 오류로 인해, 취약점 보고에 부적절한 응답이 제공됐다"며 보안 권고문을 발표할 예정이라고 미국지디넷에 답했다.
현재 IBM은 취약점들에 대한 보안 권고문을 제공하고 있다. 권고문에서 IBM은 IDRM 2.0.1 이상 버전 사용자를 대상으로 공개된 취약점들을 해결한 최신 버전으로 업그레이드를 실시하라고 안내했다.
