2020-7-28

SECURITY

IBM corrige vulnerabilidade em Check Gateway

A IBM corrigiu uma vulnerabilidade em Check Gateway (IVG) que permitia aos atacantes forçarem a entrada em sistemas remotos

IBM corrige vulnerabilidade em Check Gateway

IVG é um software projetado para proteger os sistemas empresariais através de funcionalidades de autentificação de vários fatores e serviços de prestadores de credenciais pré-construídos. O IVG suporta uma gama de sistemas e plataformas operativos, incluindo Windows, RedHat, Centos, Ubuntu, Debian, AIX e SuSE.

A IBM emitiu um conjunto de avisos de segurança relativos às versões 1.0.0 e 1.0.1 do software, sendo a mais grave a divulgação do CVE-2020-4400.

Emitida uma pontuação de severidade CVSS de 7.5, a vulnerabilidade foi causada por um mecanismo de bloqueio de conta considerado "inadequado" que não impede múltiplas tentativas de acesso. Em ataques de força bruta automatizada, os hackers tentariam entrar num sistema com nomes de utilizador e senhas até conseguirem as combinações certas. Para evitar que estas formas de ataque sejam bem sucedidas, o software incluirá frequentemente restrições de tentativa de login.

No entanto, as definições do IVG não atingiram este padrão quando se trata de senhas únicas baseadas no tempo (TOTPs), pelo que o bug "poderia permitir que um intruso remoto pudesse ter credenciais de conta de força bruta", de acordo com a IBM.
A versão remendada do software - v1.0.1 IVG para RADIUS e AIX PAM - bem como v1.0.2 de IVG para Linux PAM e IVG para o Windows Login, adicionou agora um mecanismo de estrangulamento.

A IBM também divulgou um aviso de segurança  para  o CVE-2020-4369, uma vulnerabilidade nos componentes privilegiados de gestão de acessos (PAM) do gateway de autentificação.

Esta vulnerabilidade baseia-se na forma como a IVG (AIX PAM e Linux PAM) gere a encriptação da propriedade do lado do cliente. Embora o PAM permita a encriptação através do ficheiro pam_ibm_auth.json, este não é ativado por padrão, pelo que os utilizadores têm de se lembrar de adicionar comandos de ofuscação manualmente.

Uma vez que se baseia nos clientes para implementar encriptação, este pode ser considerado um potencial risco de segurança que não precisa de existir, e que pode levar ao "armazenamento de informação altamente sensível em texto claro que poderia ser obtida por um utilizador", explica a empresa.

A IBM adicionou agora encriptação do lado do cliente por padrão em AIX PAM e Linux PAM e abordou também o CVE-2020-4372, outro problema de divulgação de informação presente no IVG para RADIUS, AIX PAM, Linux PAM e Windows Login.

A empresa recomenda que os utilizadores instalem as mais recentes atualizações do IVG, agora renomeado como IBM Security Check Gateway.

TAGS

IBM IVG Hackers

ARTIGOS RELACIONADOS

Horizonte aberto: a IBM abre a sua plataforma de gestão de dispositivos edge
OPINIÃO

Horizonte aberto: a IBM abre a sua plataforma de gestão de dispositivos edge

LER MAIS

IBM e SAP evoluem a Parceria
BIZ

IBM e SAP evoluem a Parceria

LER MAIS

IBM disponibiliza maior agilidade e inovação aos Parceiros
BIZ

IBM disponibiliza maior agilidade e inovação aos Parceiros

LER MAIS

Recomendado pelos leitores

Netskope amplia funcionalidades de DSPM
SECURITY

Netskope amplia funcionalidades de DSPM

LER MAIS

Sophos lança nova série de firewalls
SECURITY

Sophos lança nova série de firewalls

LER MAIS

Commvault anuncia solução conjunta com Pure Storage para cumprir requisitos do DORA
SECURITY

Commvault anuncia solução conjunta com Pure Storage para cumprir requisitos do DORA

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.