Dansker finder alvorlige sårbarheder i IBM's Lotus Notes: Står stadig piv-åbne tre måneder efter IBM blev advaret

En dansk sikkerhedsekspert har fundet adskillige kritiske sårbarheder i IBM-platformen Notes. Og de bliver tilsyneladende ikke patchet.

De i alt tre sårbarheder ligger i platformens værktøjer til henholdsvis udrulning af opdateringer og diagnosticering, og en hacker kan udnytte dem til at få adgang som systemadministrator og udvide sine egne rettigheder derfra.

Improsec gjorde IBM opmærksom på sårbarhederne tilbage i slutningen af oktober 2017.

Men mere end tre måneder senere har IBM stadigvæk ikke lagt an til at udsende en patch for at lukke hullerne - heller ikke selv om it-giganten anerkender, at sårbarhederne findes. 

Derfor offentliggør sikkerhedsfirmaet nu sårbarhederne og opskriften på at udnytte dem for at få få IBM til at sikre sin software.

“Jeg mener jo, at IBM har et ansvar overfor sine kunder, når der bliver indrapporteret sårbarheder. Der kan være hackere, der har kendt til sårbarhederne i lang tid og udnyttet dem uden at blive opdaget. IBM bør få fikset det og informere sine kunder,” siger Lasse Trolle Borup.

Selv om IBM tilsyneladende ikke er på vej med en patch, behøver man dog ikke gå i panik, selvom ens virksomhed bruger IBM Notes. 

Sårbarhederne kan nemlig sættes ud af spillet ved simpelthen at slå de to funktioner, der rummer sårbarhederne fra.

Det drejer sig om IBM Notes Diagnostics og IBM Notes Smart Update Service, og begge kan lukkes ned, uden at det påvirker resten af platformen.

Hvis du er interesseret i en teknisk gennemgang af sårbarhederne, kan du finde det hos Improsec her.

Read the article here