IBM Security Identity Manager 6.0/7.0 Credentials erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
Es wurde eine Schwachstelle in IBM Security Identity Manager 6.0/7.0 (Access Management Software) gefunden. Sie wurde als problematisch eingestuft. Es geht dabei um ein unbekannter Teil. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Credentials) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-255 vorgenommen. Das hat Auswirkungen auf die Vertraulichkeit.
Entdeckt wurde das Problem am 21.09.2017. Die Schwachstelle wurde am 25.09.2017 durch Ron Craig, Warren Moynihan, Jonathan Fitz-Gerald, John Zuccato, Rodney Ryan, Chris Shepherd und Dmitriy Beryoza. (ryan) (Website) publik gemacht. Das Advisory kann von ibm.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 30.11.2016 unter CVE-2017-1362 geführt. Der Angriff hat dabei lokal zu erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 14.01.2021). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.
Insgesamt wurde die Schwachstelle mindestens 4 Tage als nicht öffentlicher Zero-Day gehandelt. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Mitunter wird der Fehler auch in den Datenbanken von SecurityFocus (BID 100965) und X-Force (126801) dokumentiert.
Produkt
Typ
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.5
VulDB Base Score: 3.3
VulDB Temp Score: 3.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| Vector | Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: CredentialsKlasse: Erweiterte Rechte / Credentials
CWE: CWE-255
ATT&CK: Unbekannt
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | unlock | unlock | unlock | unlock |
|---|---|---|---|---|
| Heute | unlock | unlock | unlock | unlock |
Threat Intelligence
Bedrohungslage: 🔍Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
30.11.2016 🔍21.09.2017 🔍
21.09.2017 🔍
25.09.2017 🔍
25.09.2017 🔍
26.09.2017 🔍
14.01.2021 🔍
Quellen
Hersteller: https://www.ibm.com/Advisory: ibm.com
Person: Ron Craig/Warren Moynihan/Jonathan Fitz-Gerald/John Zuccato/Rodney Ryan/Chris Shepherd/Dmitriy Beryoza. (ryan)
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2017-1362 (🔍)
SecurityFocus: 100965 - IBM Security Identity Adapter CVE-2017-1362 Local Information Disclosure Vulnerability
X-Force: 126801
Eintrag
Erstellt: 26.09.2017 09:26Aktualisierung: 14.01.2021 12:43
Anpassungen: (1) advisory_person_name
Komplett: 🔍
Kommentare
Do you need the next level of professionalism?
Upgrade your account now!
Bisher keine Kommentare. Bitte loggen Sie sich ein, um kommentieren zu können.