2020-7-28

SEGURANÇA

IBM corrige vulnerabilidade em Check Gateway

A IBM corrigiu uma vulnerabilidade em Check Gateway (IVG) que permitia aos atacantes forçarem a entrada em sistemas remotos

IVG é um software projetado para proteger os sistemas empresariais através de funcionalidades de autentificação de vários fatores e serviços de prestadores de credenciais pré-construídos. O IVG suporta uma gama de sistemas e plataformas operativos, incluindo Windows, RedHat, Centos, Ubuntu, Debian, AIX e SuSE.

A IBM emitiu um conjunto de avisos de segurança relativos às versões 1.0.0 e 1.0.1 do software, sendo a mais grave a divulgação do CVE-2020-4400.

Emitida uma pontuação de severidade CVSS de 7.5, a vulnerabilidade foi causada por um mecanismo de bloqueio de conta considerado "inadequado" que não impede múltiplas tentativas de acesso. Em ataques de força bruta automatizada, os hackers tentariam entrar num sistema com nomes de utilizador e senhas até conseguirem as combinações certas. Para evitar que estas formas de ataque sejam bem sucedidas, o software incluirá frequentemente restrições de tentativa de login.

No entanto, as definições do IVG não atingiram este padrão quando se trata de senhas únicas baseadas no tempo (TOTPs), pelo que o bug "poderia permitir que um intruso remoto pudesse ter credenciais de conta de força bruta", de acordo com a IBM.
A versão remendada do software - v1.0.1 IVG para RADIUS e AIX PAM - bem como v1.0.2 de IVG para Linux PAM e IVG para o Windows Login, adicionou agora um mecanismo de estrangulamento.

A IBM também divulgou um aviso de segurança  para  o CVE-2020-4369, uma vulnerabilidade nos componentes privilegiados de gestão de acessos (PAM) do gateway de autentificação.

Esta vulnerabilidade baseia-se na forma como a IVG (AIX PAM e Linux PAM) gere a encriptação da propriedade do lado do cliente. Embora o PAM permita a encriptação através do ficheiro pam_ibm_auth.json, este não é ativado por padrão, pelo que os utilizadores têm de se lembrar de adicionar comandos de ofuscação manualmente.

Uma vez que se baseia nos clientes para implementar encriptação, este pode ser considerado um potencial risco de segurança que não precisa de existir, e que pode levar ao "armazenamento de informação altamente sensível em texto claro que poderia ser obtida por um utilizador", explica a empresa.

A IBM adicionou agora encriptação do lado do cliente por padrão em AIX PAM e Linux PAM e abordou também o CVE-2020-4372, outro problema de divulgação de informação presente no IVG para RADIUS, AIX PAM, Linux PAM e Windows Login.

A empresa recomenda que os utilizadores instalem as mais recentes atualizações do IVG, agora renomeado como IBM Security Check Gateway.

TAGS

IBM IVG Hackers

Recomendado pelos leitores

Garmin confirma que foi vítima de ciberataque
SEGURANÇA

Garmin confirma que foi vítima de ciberataque

LER MAIS

Erro humano está ligado a 60% das falhas de segurança
SEGURANÇA

Erro humano está ligado a 60% das falhas de segurança

LER MAIS

Serviços de VPN com fuga de dados de mais de 20 milhões de utilizadores
SEGURANÇA

Serviços de VPN com fuga de dados de mais de 20 milhões de utilizadores

LER MAIS

IT CHANNEL Nº 69 JULHO 2020

IT CHANNEL Nº 69 JULHO 2020

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.