Mai multe vulnerabilități majore au fost identificate în IBM QRadar SIEM. Aceste vulnerabilități permit atacatorului de la distanță:
• să execute codul arbitrar cu privilegii ridicate,
• să provoace o negare a serviciului.
• să obțină privilegii de root,
• să cunoască informații potențial sensibile,
• să provoace o negare a serviciului.
Probleme principale identificate sînt următoarele:
• Un utilizator de la distanță neautentificat poate obține privilegii ridicate pe sistem. Aceasta ar trebui să se datoreze faptului că nu s-a restricționat utilizarea API-ului Java Attach (CVE-2018-12539).
• IBM QRadar este vulnerabil la un atac de injecție a entității externe XML (XXE) atunci când procesează date XML. Un atacator de la distanță ar putea exploata această vulnerabilitate pentru a expune informații sensibile sau pentru a consuma resurse de memorie.
• IBM QRadar este vulnerabil la cross-site scriptingul. Această vulnerabilitate permite utilizatorilor să încorporeze codul JavaScript arbitrar în Web interfaţa utilizatorului, modificând astfel funcționalitatea dorită, ceea ce poate conduce la dezvăluirea acreditărilor într-o sesiune de încredere (CVE-2018-1728)
• IBM QRadar Incident Forensics utilizează acreditări codate care ar putea permite unui atacator să ocolească autentificarea configurată de administrator. (CVE-2018-1650)
IBM a publicat deja patch-uri pentru acestea vulnerabilități.
Produse afectate:
• IBM Qradar 7.2.0 - 7.2.8 Patch 13
• IBM Qradar 7.3.0 - 7.3.1 Patch 6
Orange Moldova CERT recomandă upgrade-ul la o versiune actualizată QRadar 7.3.1. Patch 7.