2020-7-28

SECURITY

IBM corrige vulnerabilidade em Check Gateway

A IBM corrigiu uma vulnerabilidade em Check Gateway (IVG) que permitia aos atacantes forçarem a entrada em sistemas remotos

IBM corrige vulnerabilidade em Check Gateway

IVG é um software projetado para proteger os sistemas empresariais através de funcionalidades de autentificação de vários fatores e serviços de prestadores de credenciais pré-construídos. O IVG suporta uma gama de sistemas e plataformas operativos, incluindo Windows, RedHat, Centos, Ubuntu, Debian, AIX e SuSE.

A IBM emitiu um conjunto de avisos de segurança relativos às versões 1.0.0 e 1.0.1 do software, sendo a mais grave a divulgação do CVE-2020-4400.

Emitida uma pontuação de severidade CVSS de 7.5, a vulnerabilidade foi causada por um mecanismo de bloqueio de conta considerado "inadequado" que não impede múltiplas tentativas de acesso. Em ataques de força bruta automatizada, os hackers tentariam entrar num sistema com nomes de utilizador e senhas até conseguirem as combinações certas. Para evitar que estas formas de ataque sejam bem sucedidas, o software incluirá frequentemente restrições de tentativa de login.

No entanto, as definições do IVG não atingiram este padrão quando se trata de senhas únicas baseadas no tempo (TOTPs), pelo que o bug "poderia permitir que um intruso remoto pudesse ter credenciais de conta de força bruta", de acordo com a IBM.
A versão remendada do software - v1.0.1 IVG para RADIUS e AIX PAM - bem como v1.0.2 de IVG para Linux PAM e IVG para o Windows Login, adicionou agora um mecanismo de estrangulamento.

A IBM também divulgou um aviso de segurança  para  o CVE-2020-4369, uma vulnerabilidade nos componentes privilegiados de gestão de acessos (PAM) do gateway de autentificação.

Esta vulnerabilidade baseia-se na forma como a IVG (AIX PAM e Linux PAM) gere a encriptação da propriedade do lado do cliente. Embora o PAM permita a encriptação através do ficheiro pam_ibm_auth.json, este não é ativado por padrão, pelo que os utilizadores têm de se lembrar de adicionar comandos de ofuscação manualmente.

Uma vez que se baseia nos clientes para implementar encriptação, este pode ser considerado um potencial risco de segurança que não precisa de existir, e que pode levar ao "armazenamento de informação altamente sensível em texto claro que poderia ser obtida por um utilizador", explica a empresa.

A IBM adicionou agora encriptação do lado do cliente por padrão em AIX PAM e Linux PAM e abordou também o CVE-2020-4372, outro problema de divulgação de informação presente no IVG para RADIUS, AIX PAM, Linux PAM e Windows Login.

A empresa recomenda que os utilizadores instalem as mais recentes atualizações do IVG, agora renomeado como IBM Security Check Gateway.

TAGS

IBM IVG Hackers

ARTIGOS RELACIONADOS

Horizonte aberto: a IBM abre a sua plataforma de gestão de dispositivos edge
OPINIÃO

Horizonte aberto: a IBM abre a sua plataforma de gestão de dispositivos edge

LER MAIS

IBM e SAP evoluem a Parceria
BIZ

IBM e SAP evoluem a Parceria

LER MAIS

IBM disponibiliza maior agilidade e inovação aos Parceiros
BIZ

IBM disponibiliza maior agilidade e inovação aos Parceiros

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.