Уязвимости в IBM Qradar SIEM

Mai multe vulnerabilități majore au fost identificate în IBM QRadar SIEM. Aceste vulnerabilități permit atacatorului de la distanță:
•    să execute codul arbitrar cu privilegii ridicate,
•    să provoace o negare a serviciului.
•    să obțină privilegii de root,
•    să cunoască informații potențial sensibile,
•    să provoace o negare a serviciului.

Probleme principale identificate sînt următoarele:
•    Un utilizator de la distanță neautentificat poate obține privilegii ridicate pe sistem. Aceasta ar trebui să se datoreze faptului că nu s-a restricționat utilizarea API-ului Java Attach (CVE-2018-12539).
•    IBM QRadar este vulnerabil la un atac de injecție a entității externe XML (XXE) atunci când procesează date XML. Un atacator de la distanță ar putea exploata această vulnerabilitate pentru a expune informații sensibile sau pentru a consuma resurse de memorie.
•    IBM QRadar este vulnerabil la cross-site scriptingul. Această vulnerabilitate permite utilizatorilor să încorporeze codul JavaScript arbitrar în Web interfaţa utilizatorului, modificând astfel funcționalitatea dorită, ceea ce poate conduce la dezvăluirea acreditărilor într-o sesiune de încredere (CVE-2018-1728)
•    IBM QRadar Incident Forensics utilizează acreditări codate care ar putea permite unui atacator să ocolească autentificarea configurată de administrator. (CVE-2018-1650)

IBM a publicat deja patch-uri pentru acestea vulnerabilități.

Produse afectate:
•    IBM Qradar 7.2.0 - 7.2.8 Patch 13
•    IBM Qradar 7.3.0 - 7.3.1 Patch 6