IBM corrige vulnerabilidade em Check Gateway

IVG é um software projetado para proteger os sistemas empresariais através de funcionalidades de autentificação de vários fatores e serviços de prestadores de credenciais pré-construídos. O IVG suporta uma gama de sistemas e plataformas operativos, incluindo Windows, RedHat, Centos, Ubuntu, Debian, AIX e SuSE.

A IBM emitiu um conjunto de avisos de segurança relativos às versões 1.0.0 e 1.0.1 do software, sendo a mais grave a divulgação do CVE-2020-4400.

Emitida uma pontuação de severidade CVSS de 7.5, a vulnerabilidade foi causada por um mecanismo de bloqueio de conta considerado "inadequado" que não impede múltiplas tentativas de acesso. Em ataques de força bruta automatizada, os hackers tentariam entrar num sistema com nomes de utilizador e senhas até conseguirem as combinações certas. Para evitar que estas formas de ataque sejam bem sucedidas, o software incluirá frequentemente restrições de tentativa de login.

No entanto, as definições do IVG não atingiram este padrão quando se trata de senhas únicas baseadas no tempo (TOTPs), pelo que o bug "poderia permitir que um intruso remoto pudesse ter credenciais de conta de força bruta", de acordo com a IBM.
A versão remendada do software - v1.0.1 IVG para RADIUS e AIX PAM - bem como v1.0.2 de IVG para Linux PAM e IVG para o Windows Login, adicionou agora um mecanismo de estrangulamento.

A IBM também divulgou um aviso de segurança  para  o CVE-2020-4369, uma vulnerabilidade nos componentes privilegiados de gestão de acessos (PAM) do gateway de autentificação.

Esta vulnerabilidade baseia-se na forma como a IVG (AIX PAM e Linux PAM) gere a encriptação da propriedade do lado do cliente. Embora o PAM permita a encriptação através do ficheiro pam_ibm_auth.json, este não é ativado por padrão, pelo que os utilizadores têm de se lembrar de adicionar comandos de ofuscação manualmente.

Uma vez que se baseia nos clientes para implementar encriptação, este pode ser considerado um potencial risco de segurança que não precisa de existir, e que pode levar ao "armazenamento de informação altamente sensível em texto claro que poderia ser obtida por um utilizador", explica a empresa.

A IBM adicionou agora encriptação do lado do cliente por padrão em AIX PAM e Linux PAM e abordou também o CVE-2020-4372, outro problema de divulgação de informação presente no IVG para RADIUS, AIX PAM, Linux PAM e Windows Login.

A empresa recomenda que os utilizadores instalem as mais recentes atualizações do IVG, agora renomeado como IBM Security Check Gateway.