Dansker finder alvorlige sårbarheder i IBM's Lotus Notes: Står stadig piv-åbne tre måneder efter IBM blev advaret

En dansk sikkerhedsekspert har fundet adskillige kritiske sårbarheder i IBM-platformen Notes. Og de bliver tilsyneladende ikke patchet.

“Der var simpelthen så meget dårlig kode, at jeg var nødt til at kigge nærmere på det.”

Lasse Trolle Borup er sikkerhedsrådgiver hos Improsec, og da han i oktober 2017 testede sikkerheden på en bærbar computer for en kunde, blev han hurtigt opmærksom på IBM-systemet Notes.

Den efterhånden 29 år gamle softwareplatform er stadig et udbredt redskab til mail- og kalenderfunktionalitet i virksomheder og organisationer, og da den danske sikkerhedsrådgiver så nærmere på kodekvaliteten, fandt han hurtigt flere graverende sårbarheder.

De i alt tre sårbarheder ligger i platformens værktøjer til henholdsvis udrulning af opdateringer og diagnosticering, og en hacker kan udnytte dem til at få adgang som systemadministrator og udvide sine egne rettigheder derfra.

“Det er i den alvorlige ende,” siger Lasse Trolle Borup til Computerworld.

Huller bliver ikke lukket
Improsec gjorde IBM opmærksom på sårbarhederne tilbage i slutningen af oktober 2017.

Men mere end tre måneder senere har IBM stadigvæk ikke lagt an til at udsende en patch for at lukke hullerne - heller ikke selv om it-giganten anerkender, at sårbarhederne findes.

Derfor offentliggør sikkerhedsfirmaet nu sårbarhederne og opskriften på at udnytte dem for at få få IBM til at sikre sin software.

“Jeg mener jo, at IBM har et ansvar overfor sine kunder, når der bliver indrapporteret sårbarheder. Der kan være hackere, der har kendt til sårbarhederne i lang tid og udnyttet dem uden at blive opdaget. IBM bør få fikset det og informere sine kunder,” siger Lasse Trolle Borup.

Selv om IBM tilsyneladende ikke er på vej med en patch, behøver man dog ikke gå i panik, selvom ens virksomhed bruger IBM Notes.

Sårbarhederne kan nemlig sættes ud af spillet ved simpelthen at slå de to funktioner, der rummer sårbarhederne fra.

Det drejer sig om IBM Notes Diagnostics og IBM Notes Smart Update Service, og begge kan lukkes ned, uden at det påvirker resten af platformen.

“Vores anbefaling er helt klart, at man slår funktionerne fra, hvis man ikke er afhængig af dem. Det bør ikke påvirke resten af funktionaliteten, og det er let at gøre,” siger Lasse Trolle Borup.

Computerworld arbejder på at få en kommentar fra IBM.

Hvis du er interesseret i en teknisk gennemgang af sårbarhederne, kan du finde det hos Improsec her.

Opdateret: IBM har efter offentliggørelsen af sårbarhederne udsendt fixes til Notes-platformen. De kan downloades her.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
AlfaPeople Nordic A/S
Salg, implementering, udvikling og support af software og it-løsninger inden for CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digitale og mobile medarbejdere: De bedste værktøjer og løsninger til at gentænke din forretning

Hør om udfordringerne med sikkerheden i de mobile løsninger og hvordan du håndterer dem - og lær mere om hvordan interne business apps kan skabe mere effektive arbejdsgange i din virksomhed.

29. maj 2018 | Læs mere


Nyt trusselsbillede kræver dyb indsigt i sikkerhedsprodukter

På Kaspersky Open Day får du praktisk viden om, hvordan du som Kaspersky-partner sikrer dine kunders Office 365-mail, beskytter dem mod ransomware – og optimerer indtjening og vækst ved at betjene flere og større kunder på én gang.

30. maj 2018 | Læs mere


Accelerér digitalisering med softwarerobotter og AI

Fremtidens digitale vindere fokuserer på at nedbringe driftsomkostningerne radikalt gennem digitaliserede ’touchless operations’, hvor kun undtagelser behandles manuelt, og hvor automatisering og kunstig intelligens spiller sømløst sammen.

30. maj 2018 | Læs mere






Premium
”Vores løsning vil betyde, at du som patient kan tage et billede af en pille med din telefon og herefter få bekræftet, at den medicindosis du er ved at indtage er valid.”
Virkningsløs piratmedicin koster tusindvis af liv hvert år, men it-giganten IBM mener, at den har fundet en løsning på problemet. Bliv klogere på hvordan IBM vil bruge blockchain til at forhindre svindel i medicinalindustrien supply-chain
Computerworld
Se listen: Disse it-virksomheder drømmer de danske it-studerende om at arbejde for
Konsulenthusene buldrer frem på listen over de virksomheder, som de danske it-studerende helst vil arbejde for. "Konsulenthusene har simpelthen øget kendskabet til sig selv som arbejdsgiver blandt de it-studerende. Det kræver heftig aktivitet på de sociale medier og universiteterne," lyder det fra Universum, der står bag undersøgelsen.
CIO
Sådan kan du stå imod, når hackerangrebet rammer: 16 nye anbefalinger fra politiet
En ny vejledning fra Rigspolitiet og Dansk IT skal hjælpe danske virksomheder med at få bedre styr på it-sikkerheden. Se her, hvad du bør gøre før, under og efter du bliver ramt af et hackerangreb.
Job & Karriere
Vil strejkende it-folk kunne lægge hele Statens It ned? "Det har vi ingen kommentarer til," lyder den kryptiske melding fra Statens It
50 it-medarbejdere hos Statens It truer med at nedlægge arbejdet i sympatistrejke. Vil det betyde, at Statens It går ned?
Statens It nægter at svare.
White paper
Vigtige overvejelser til din cloud-strategi
Med denne video får du en dybdegående gennemgang af de overvejelser, man som virksomhed bør gøre sig, når man definerer sin cloud-strategi. Din virksomheds tilgang til cloud er i dag et vigtigt emne, når I planlægger jeres it-strategi. Er cloud ”et andet sted”, eller er cloud en leverancemodel for it-services? Skal man have infrastruktur on-site, outsourcing, cloud eller både og? Dette er et spørgsmål, som mange der beskæftiger sig med it-infrastruktur og strategi stiller sig selv. Se hvorfor det ofte ikke et enten eller, men snarere et både og.