Artikel top billede

Dansker finder alvorlige sårbarheder i IBM's Lotus Notes: Står stadig piv-åbne tre måneder efter IBM blev advaret

En dansk sikkerhedsekspert har fundet adskillige kritiske sårbarheder i IBM-platformen Notes. Og de bliver tilsyneladende ikke patchet.

“Der var simpelthen så meget dårlig kode, at jeg var nødt til at kigge nærmere på det.”

Lasse Trolle Borup er sikkerhedsrådgiver hos Improsec, og da han i oktober 2017 testede sikkerheden på en bærbar computer for en kunde, blev han hurtigt opmærksom på IBM-systemet Notes.

Den efterhånden 29 år gamle softwareplatform er stadig et udbredt redskab til mail- og kalenderfunktionalitet i virksomheder og organisationer, og da den danske sikkerhedsrådgiver så nærmere på kodekvaliteten, fandt han hurtigt flere graverende sårbarheder.

De i alt tre sårbarheder ligger i platformens værktøjer til henholdsvis udrulning af opdateringer og diagnosticering, og en hacker kan udnytte dem til at få adgang som systemadministrator og udvide sine egne rettigheder derfra.

“Det er i den alvorlige ende,” siger Lasse Trolle Borup til Computerworld.

Huller bliver ikke lukket

Improsec gjorde IBM opmærksom på sårbarhederne tilbage i slutningen af oktober 2017.

Men mere end tre måneder senere har IBM stadigvæk ikke lagt an til at udsende en patch for at lukke hullerne - heller ikke selv om it-giganten anerkender, at sårbarhederne findes.

Derfor offentliggør sikkerhedsfirmaet nu sårbarhederne og opskriften på at udnytte dem for at få få IBM til at sikre sin software.

“Jeg mener jo, at IBM har et ansvar overfor sine kunder, når der bliver indrapporteret sårbarheder. Der kan være hackere, der har kendt til sårbarhederne i lang tid og udnyttet dem uden at blive opdaget. IBM bør få fikset det og informere sine kunder,” siger Lasse Trolle Borup.

Selv om IBM tilsyneladende ikke er på vej med en patch, behøver man dog ikke gå i panik, selvom ens virksomhed bruger IBM Notes.

Sårbarhederne kan nemlig sættes ud af spillet ved simpelthen at slå de to funktioner, der rummer sårbarhederne fra.

Det drejer sig om IBM Notes Diagnostics og IBM Notes Smart Update Service, og begge kan lukkes ned, uden at det påvirker resten af platformen.

“Vores anbefaling er helt klart, at man slår funktionerne fra, hvis man ikke er afhængig af dem. Det bør ikke påvirke resten af funktionaliteten, og det er let at gøre,” siger Lasse Trolle Borup.

Computerworld arbejder på at få en kommentar fra IBM.

Hvis du er interesseret i en teknisk gennemgang af sårbarhederne, kan du finde det hos Improsec her.

Opdateret: IBM har efter offentliggørelsen af sårbarhederne udsendt fixes til Notes-platformen. De kan downloades her.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
iPaaS-webinar: Take advantage of key trends in a billion dollar-market

According to Gartner, by 2023, the iPaaS market is expected to grow well above $6 billion in revenue, thus becoming the largest segment in the integration platform technology market. To illustrate what iPaaS can do for your business, Flügger will outline how to overcome their integration challenges. Do not miss the opportunity to learn how a successful iPaaS implementation can improve your business outcomes.

07. maj 2021 | Læs mere


Brand din forretning og skab nye leads med Microsoft Dynamics 365 til marketing

Vidste du, at Microsoft Dynamics også byder på stærk funktionalitet til marketingafdelingen? På kun 1 1/2 time inspirerer vi dig til, hvordan du kan bruge Dynamics 365 Marketing til at brande din forretning og skabe nye leads.

17. maj 2021 | Læs mere


Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere






Premium
Claus Thorsgaard skal sætte gang i væksten som ny CEO: Her er hovedopgaverne som topchef i Luxion
Den tidligere Conscia-topchef Claus Thorsgaard skal nu sætte gang i væksten hos den danske it-virksomhed Luxion. "Luxion har et kæmpe uudnyttet potentiale. Ordrerne vælter ind ad døren uden en aktiv salgsindsats, så hvis vi begynder at fokusere på det, så skulle det gerne gå endnu bedre," siger den nye direktør til Computerworld.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Overvåg kritiske industrielle systemer og beskyt dem mod angreb
Industrial Control Systems (ICS) udgør hjertet i alle forsynings- og produktionsvirksomheder og kan være overraskende sårbare overfor cyberangreb. Dette whitepaper giver et godt overblik over problematikker og muligheder for at sikre jeres systemer.