Data Risk Manager (DRM) è un prodotto che IBM propone per “svelare, analizzare e visualizzare” i rischi aziendali connessi all’uso dei dati, ma DRM è anche un tool fallato contenente almeno quattro vulnerabilità di sicurezza potenzialmente molto gravi. Falle che Big Blue si era fin qui rifiutata persino di riconoscere come un problema.
A individuare le vulnerabilità è stato Pedro Ribeiro, ricercatore di sicurezza che ha scavato nel codice della suite DRM (basata su Linux) scoprendo problemi con l’autenticazione, l’injection di comandi, l’uso di password di default insicure e il download arbitrario di file. Prese tutte assieme, le quattro vulnerabilità possono essere sfruttate per eseguire codice malevolo da remoto con privilegi di root.
La gravità del problema avrebbe dovuto spingere IBM a ringraziare il ricercatore e poi mettere mano al codice di DRM, ma stando a quanto sostiene Ribeiro la corporation si è comportata in maniera diametralmente opposta. Secondo IBM il rapporto di Ribeiro non rientrava nel programma aziendale di disclosure delle falle di sicurezza a causa del supporto a pagamento.
Il ricercatore ha dunque deciso di pubblicare le informazioni sulle vulnerabilità tramite GitHub, e solo a quel punto IBM ha cambiato opinione sulla faccenda: ora la risposta iniziale al lavoro di Ribeiro viene indicata come “impropria” e causata da un errore non voluto, mentre l’azienda sta implementando misure di “mitigazione” (quindi non necessariamente patch correttive) che verranno discusse in un bollettino di sicurezza futuro.