Os invasores capazes de explorar com êxito as duas vulnerabilidades podem obter privilégios de nível de root para seus destinos e executar comandos não autorizados, tornando importante para as organizações instalar as atualizações o mais rápido possível.

O consultor de segurança da F-Secure, William Söderberg, descobriu as vulnerabilidades. Ambas as falhas estão no IBM API Connect, um produto usado por muitas instituições financeiras para dar suporte aos Open Banking Services (Serviços Bancários Abertos), obrigados pelos regulamentos do PSD2 (uma lei europeia que rege os sistemas de pagamento).

"É difícil descrever o impacto porque o produto pode ser usado e implementado de muitas maneiras diferentes. Mas as falhas podem permitir que um atacante obtenha acesso não autorizado às credenciais da API, que por sua vez são usadas para acessar as APIs. Um invasor também pode causar interrupções no serviço e estabelecer uma posição inicial nas redes internas do cliente", explica William.

A primeira vulnerabilidade (CVE-2019-4203) é classificada como um ataque SSRF (Server-Side Request Forgery). Se explorado com sucesso, um invasor pode "enganar" o portal para emitir solicitações em seu nome. Os criminosos então recebem as respostas. Usando isso, um invasor pode ler arquivos confidenciais do Portal do Desenvolvedor ou tentar mover do servidor de portal para outros sistemas na mesma rede.

A segunda vulnerabilidade (CVE-2019-4202) é classificada como uma vulnerabilidade de execução remota de código (RCE). Ele está localizado na API REST do Portal do desenvolvedor. As organizações geralmente bloqueiam a API REST a partir da Internet aberta (por exemplo, usando um firewall). Mas, explorando a vulnerabilidade do SSRF mencionada anteriormente, um invasor pode alcançar a API REST vulnerável da Internet. Ao explorar com sucesso as duas vulnerabilidades, um invasor pode executar remotamente comandos com privilégios de root no sistema afetado.

Felizmente, há uma coisa que pode ajudar a mitigar o dano potencial.

"No entanto, há uma ressalva para um invasor", explica William. "Os clientes podem configurar seu Portal de Desenvolvimento para não permitir conexões TLS inseguras. Isso atenuaria que o RCE seria explorável da Internet".

A IBM foi rápida em resolver os problemas e já disponibilizou uma correção. A F-Secure recomenda a atualização imediata do software devido à gravidade das vulnerabilidades, bem como ao fato de que um invasor pode explorar as vulnerabilidades.

A IBM publicou boletins de segurança para ambas as vulnerabilidades (CVE-2019-4202 e CVE-2019-4203) em seu site.