“Der var simpelthen så meget dårlig kode, at jeg var nødt til at kigge nærmere på det.”
Lasse Trolle Borup er sikkerhedsrådgiver hos Improsec, og da han i oktober 2017 testede sikkerheden på en bærbar computer for en kunde, blev han hurtigt opmærksom på IBM-systemet Notes.
Den efterhånden 29 år gamle softwareplatform er stadig et udbredt redskab til mail- og kalenderfunktionalitet i virksomheder og organisationer, og da den danske sikkerhedsrådgiver så nærmere på kodekvaliteten, fandt han hurtigt flere graverende sårbarheder.
De i alt tre sårbarheder ligger i platformens værktøjer til henholdsvis udrulning af opdateringer og diagnosticering, og en hacker kan udnytte dem til at få adgang som systemadministrator og udvide sine egne rettigheder derfra.
“Det er i den alvorlige ende,” siger Lasse Trolle Borup til Computerworld.
Huller bliver ikke lukket
Improsec gjorde IBM opmærksom på sårbarhederne tilbage i slutningen af oktober 2017.
Men mere end tre måneder senere har IBM stadigvæk ikke lagt an til at udsende en patch for at lukke hullerne - heller ikke selv om it-giganten anerkender, at sårbarhederne findes.
Derfor offentliggør sikkerhedsfirmaet nu sårbarhederne og opskriften på at udnytte dem for at få få IBM til at sikre sin software.
“Jeg mener jo, at IBM har et ansvar overfor sine kunder, når der bliver indrapporteret sårbarheder. Der kan være hackere, der har kendt til sårbarhederne i lang tid og udnyttet dem uden at blive opdaget. IBM bør få fikset det og informere sine kunder,” siger Lasse Trolle Borup.
Selv om IBM tilsyneladende ikke er på vej med en patch, behøver man dog ikke gå i panik, selvom ens virksomhed bruger IBM Notes.
Sårbarhederne kan nemlig sættes ud af spillet ved simpelthen at slå de to funktioner, der rummer sårbarhederne fra.
Det drejer sig om IBM Notes Diagnostics og IBM Notes Smart Update Service, og begge kan lukkes ned, uden at det påvirker resten af platformen.
“Vores anbefaling er helt klart, at man slår funktionerne fra, hvis man ikke er afhængig af dem. Det bør ikke påvirke resten af funktionaliteten, og det er let at gøre,” siger Lasse Trolle Borup.
Computerworld arbejder på at få en kommentar fra IBM.
Hvis du er interesseret i en teknisk gennemgang af sårbarhederne, kan du finde det hos Improsec her.
Opdateret: IBM har efter offentliggørelsen af sårbarhederne udsendt fixes til Notes-platformen. De kan downloades her.