Dansker finder alvorlige sårbarheder i IBM's Lotus Notes: Står stadig piv-åbne tre måneder efter IBM blev advaret

En dansk sikkerhedsekspert har fundet adskillige kritiske sårbarheder i IBM-platformen Notes. Og de bliver tilsyneladende ikke patchet.

“Der var simpelthen så meget dårlig kode, at jeg var nødt til at kigge nærmere på det.”

Lasse Trolle Borup er sikkerhedsrådgiver hos Improsec, og da han i oktober 2017 testede sikkerheden på en bærbar computer for en kunde, blev han hurtigt opmærksom på IBM-systemet Notes.

Den efterhånden 29 år gamle softwareplatform er stadig et udbredt redskab til mail- og kalenderfunktionalitet i virksomheder og organisationer, og da den danske sikkerhedsrådgiver så nærmere på kodekvaliteten, fandt han hurtigt flere graverende sårbarheder.

De i alt tre sårbarheder ligger i platformens værktøjer til henholdsvis udrulning af opdateringer og diagnosticering, og en hacker kan udnytte dem til at få adgang som systemadministrator og udvide sine egne rettigheder derfra.

“Det er i den alvorlige ende,” siger Lasse Trolle Borup til Computerworld.

Huller bliver ikke lukket
Improsec gjorde IBM opmærksom på sårbarhederne tilbage i slutningen af oktober 2017.

Men mere end tre måneder senere har IBM stadigvæk ikke lagt an til at udsende en patch for at lukke hullerne - heller ikke selv om it-giganten anerkender, at sårbarhederne findes.

Derfor offentliggør sikkerhedsfirmaet nu sårbarhederne og opskriften på at udnytte dem for at få få IBM til at sikre sin software.

“Jeg mener jo, at IBM har et ansvar overfor sine kunder, når der bliver indrapporteret sårbarheder. Der kan være hackere, der har kendt til sårbarhederne i lang tid og udnyttet dem uden at blive opdaget. IBM bør få fikset det og informere sine kunder,” siger Lasse Trolle Borup.

Selv om IBM tilsyneladende ikke er på vej med en patch, behøver man dog ikke gå i panik, selvom ens virksomhed bruger IBM Notes.

Sårbarhederne kan nemlig sættes ud af spillet ved simpelthen at slå de to funktioner, der rummer sårbarhederne fra.

Det drejer sig om IBM Notes Diagnostics og IBM Notes Smart Update Service, og begge kan lukkes ned, uden at det påvirker resten af platformen.

“Vores anbefaling er helt klart, at man slår funktionerne fra, hvis man ikke er afhængig af dem. Det bør ikke påvirke resten af funktionaliteten, og det er let at gøre,” siger Lasse Trolle Borup.

Computerworld arbejder på at få en kommentar fra IBM.

Hvis du er interesseret i en teknisk gennemgang af sårbarhederne, kan du finde det hos Improsec her.

Opdateret: IBM har efter offentliggørelsen af sårbarhederne udsendt fixes til Notes-platformen. De kan downloades her.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital Innovation Summit 2018: Inspiration, strategi og innovation til fremtidens digitale vindere

Evnen til at innovere digitalt er et af de vigtigste succesparametre for en moderne virksomhed eller organisation. Kom derfor på Digital Innovation Summit og hør hvordan danske virksomheder som Rambøll, A.P. Møller-Mærsk og DFDS arbejder med innovation.

27. februar 2018 | Læs mere


Få mere fart på og kvalitet i udviklingsafdelingen med DevOps

Få indsigt i den populære DevOps-tankegang, der kendetegner den moderne it-organisation, hvor samarbejde og integration er nogle af nøgleordene. Kom og hør konkrete cases fra virksomheder, der arbejder efter DevOps og mød de førende leverandører, der fortæller, hvordan du kommer derhen, hvor udviklingsafdelingen kan understøtte den digitale innovation med de ideer og i det tempo, som der forventes.

28. februar 2018 | Læs mere


Gå hjem møde: GDPR - mobile enheder og medarbejderdata

25. maj 2018 skal det hele være på plads! Kom og hør hvordan I skal behandle persondata om medarbejdere under GDPR, og hvordan medarbejderne må behandle persondata under GDPR. Få derudover svar på, hvordan I håndterer udfordringen omkring de mange mobile enheder for at sikre compliance.

28. februar 2018 | Læs mere





mest debaterede artikler

Premium
Hjalp virksomheder Atea med at klage over omstridt udbud i Region Sjælland? Forsvarer udpeger Ib Kunøe som fællesnævner
Der indløb klager fra flere it-selskaber, da Region Sjælland i 2015 udpegede 3A-it som vinder af et stort it-udbud foran næsen af Atea. Det pudsige er, at klagerne var næsten ens. Forsvarer i Atea-sagen peger på et interessant sammenfald - Ib Kunøe.
Computerworld
Fona-ejer skal betale million-beløb tilbage: Hævede 22 millioner kroner lige inden krak
Fona-ejeren Elkjøp Nordic trak uretmæssigt 22 millioner kroner ud af selskabet lige inden salget af den kendte kæde gik ned med flaget.
CIO
Her er tre vigtige spørgsmål, som du altid bør stille til sælgere af it-systemer
Klumme: Softwareudviklere elsker at hade sælgere, der generelt er lidt for glatte, lidt for smilende, lidt for hjertelige og også dygtige til at undvige eller parere, når man fagligt argumenterer for sine forbehold overfor det system, man lige har fået præsenteret og lynhurtigt har spottet ikke vil fungere.
Job & Karriere
Regeringen vil gøre it-undervisning obligatorisk i folkeskolen: "Planen er, at alle danske børn skal lære at kode," siger undervisningsministeren
Interview: Regeringen indfører obligatorisk undervisning i it i folkeskolen på alle klassetrin og præsenterer fredag ny plan. Ny forsøgsordning i op til 50 skoler skal bane vejen. “Visionen for planen er, at alle danske børn skal lære at kode,” siger undervisningsminister Merete Riisager (LA).
White paper
Hvilken slags CRM understøtter bedst din forretning?
Hvordan vælger jeg det rigtige CRM-system? Hvad skal jeg prioritere? Denne guide giver dig et solidt grundlag for at vælge det CRM-system, der understøtter netop din virksomhed og jeres processer bedst – og som støtter op om arbejdet med bl.a. salg, marketing og service gennem den samlede kunderejse. Du får også konkrete og brugbare tips til, hvordan du øger sandsynligheden for, at CRM bliver en naturlig og selvfølgelig del af dine medarbejderes dagligdag. Hvilket jo er grundlaget for, at det samlede CRM-projekt bliver til en succes.