Artikel top billede

Dansker finder alvorlige sårbarheder i IBM's Lotus Notes: Står stadig piv-åbne tre måneder efter IBM blev advaret

En dansk sikkerhedsekspert har fundet adskillige kritiske sårbarheder i IBM-platformen Notes. Og de bliver tilsyneladende ikke patchet.

“Der var simpelthen så meget dårlig kode, at jeg var nødt til at kigge nærmere på det.”

Lasse Trolle Borup er sikkerhedsrådgiver hos Improsec, og da han i oktober 2017 testede sikkerheden på en bærbar computer for en kunde, blev han hurtigt opmærksom på IBM-systemet Notes.

Den efterhånden 29 år gamle softwareplatform er stadig et udbredt redskab til mail- og kalenderfunktionalitet i virksomheder og organisationer, og da den danske sikkerhedsrådgiver så nærmere på kodekvaliteten, fandt han hurtigt flere graverende sårbarheder.

De i alt tre sårbarheder ligger i platformens værktøjer til henholdsvis udrulning af opdateringer og diagnosticering, og en hacker kan udnytte dem til at få adgang som systemadministrator og udvide sine egne rettigheder derfra.

“Det er i den alvorlige ende,” siger Lasse Trolle Borup til Computerworld.

Huller bliver ikke lukket

Improsec gjorde IBM opmærksom på sårbarhederne tilbage i slutningen af oktober 2017.

Men mere end tre måneder senere har IBM stadigvæk ikke lagt an til at udsende en patch for at lukke hullerne - heller ikke selv om it-giganten anerkender, at sårbarhederne findes.

Derfor offentliggør sikkerhedsfirmaet nu sårbarhederne og opskriften på at udnytte dem for at få få IBM til at sikre sin software.

“Jeg mener jo, at IBM har et ansvar overfor sine kunder, når der bliver indrapporteret sårbarheder. Der kan være hackere, der har kendt til sårbarhederne i lang tid og udnyttet dem uden at blive opdaget. IBM bør få fikset det og informere sine kunder,” siger Lasse Trolle Borup.

Selv om IBM tilsyneladende ikke er på vej med en patch, behøver man dog ikke gå i panik, selvom ens virksomhed bruger IBM Notes.

Sårbarhederne kan nemlig sættes ud af spillet ved simpelthen at slå de to funktioner, der rummer sårbarhederne fra.

Det drejer sig om IBM Notes Diagnostics og IBM Notes Smart Update Service, og begge kan lukkes ned, uden at det påvirker resten af platformen.

“Vores anbefaling er helt klart, at man slår funktionerne fra, hvis man ikke er afhængig af dem. Det bør ikke påvirke resten af funktionaliteten, og det er let at gøre,” siger Lasse Trolle Borup.

Computerworld arbejder på at få en kommentar fra IBM.

Hvis du er interesseret i en teknisk gennemgang af sårbarhederne, kan du finde det hos Improsec her.

Opdateret: IBM har efter offentliggørelsen af sårbarhederne udsendt fixes til Notes-platformen. De kan downloades her.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital vækst 2024

På Digital Vækst 2024 bringer vi danske virksomheders organisation, forretning og data i spil samt spejler dem i det, som teknologipartnerne bringer til fadet. Konferencen bliver tætpakket med dygtige digitale ledere og frontkæmpere fra ind- og udland. De har én opgave på dagsordenen: At inspirere dig til at træffe de rigtige forretningsmæssige, teknologiske og strategiske valg i 2024, som kan sikre vækst for dig.

19. marts 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de IT-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

20. marts 2024 | Læs mere


AI Impact Day: Har du styr på risiko og governance – og er du klar til AI Act?

AI og Machine Learning har for længst gjort sit indtog i centrale, kritiske forretningssystemer, og både udviklere, platformleverandører og koncerner er begyndt at udforske mulighederne. På dette eksklusive event dykker vi ned i AI's indflydelse på fremtidens forretnings- og IT-drift. Men vi ser også på, hvordan du mest effektivt arbejder med governance og risikostyring på dine AI-projekter.

21. marts 2024 | Læs mere