Sicherheitsforscher zieht Exploit nach Druck von IBM zurück

IBM räumt ein, Druck auf einen Sicherheitsforscher ausgeübt zu haben, damit er einen Exploit-Code für eine Schwachstelle in IBM-Produkten zurückzog. Der von Maurizio Agazzini nach den üblichen Regeln gemeldete Fehler CVE-2016-5983 steckt in IBM Websphere, und zwar in dessen Versionen 7, 8, 8.5 sowie 9.

Agazzini machte seine Entdeckung vergangene Woche öffentlich – zwei Monate, nachdem er IBM verständigt hatte, das auch einen Patch veröffentlichte. Sein Beitrag enthielt einen Link zu einem so genannten Proof-of-Concept, also Code, der die Lücke beispielhaft ausnutzt.

IBM war mit dieser Offenlegung nicht einverstanden und forderte von Agazzini, Details des Exploits zu entfernen. Diese E-Mail veröffentlichte ein Kollege von Agazzini via Twitter. Sie ist zwar als Bitte formuliert, aber in einem scharfen Ton gehalten. IBM wolle seine Kunden keinem Risiko aussetzen, steht dort, und eine solche Veröffentlichung gefährde sämtliche Kunden. Eine schnelle Reaktion und Entfernen des Codes sei wünschenswert.

Die Schwachstelle steckt im Applikationsserver von Websphere. Ist der Cookie WASPostParam gesetzt, akzeptiert er Daten aus nicht vertrauenswürdigen Quellen, was sowohl Denial-Of-Service-Angriffe (DoS) als auch Remote-Codeausführung zulässt.

Den Angriffscode hat Agazzini entfernt. Seine Beschreibung eines erfolgreichen Angriffs ermöglicht es technisch bewanderten Nutzern aber, selbst solchen Code zu schreiben.

Gegenüber The Register rechtfertigte IBM sein Verhalten mit dem Hinweis, ein Patch liege zwar vor, nicht jedes Unternehmen könne ihn aber immer gleich einspielen. „Obwohl dies nicht IBMs übliche Praxis ist, haben wir in diesem speziellen Fall darum gebeten, einige der Details zu dem Exploit wegzulassen, um anfällige Nutzer zu schützen und ihnen Zeit zum Patchen zu geben.“

Die Veröffentlichung von Proof-of-Concept-Code ist ein hilfreiches Angebot insbesondere für andere Sicherheitsforscher, die sich mit Schwachstellen im gleichen Produkt befassen. IBMs Sorge um die Kunden ist lobenswert, seine Rhetorik aber zweifelhaft, deutet es doch an, der Sicherheitsforscher gefährde die Nutzer, der ja im Gegenteil auf die bereits bestehende Gefahr erst hingewiesen hat. Auf lange Sicht wird ein Softwareanbieter, der sich so verhält, sein Verhältnis zur Security-Community nicht gerade verbessern können.

[mit Material von Charlie Osborne, ZDNet.com]