Mai multe vulnerabilități majore au fost identificate în IBM QRadar
SIEM. Aceste vulnerabilități permit atacatorului de la distanță:
• să execute codul arbitrar cu privilegii ridicate,
• să provoace o negare a serviciului.
• să obțină privilegii de root,
• să cunoască informații potențial sensibile,
• să provoace o negare a serviciului.
Probleme principale identificate sînt următoarele:
•
Un utilizator de la distanță neautentificat poate obține privilegii
ridicate pe sistem. Aceasta ar trebui să se datoreze faptului că nu s-a
restricționat utilizarea API-ului Java Attach (CVE-2018-12539).
•
IBM QRadar este vulnerabil la un atac de injecție a entității externe
XML (XXE) atunci când procesează date XML. Un atacator de la distanță ar
putea exploata această vulnerabilitate pentru a expune informații
sensibile sau pentru a consuma resurse de memorie.
• IBM QRadar
este vulnerabil la cross-site scriptingul. Această vulnerabilitate
permite utilizatorilor să încorporeze codul JavaScript arbitrar în Web
interfaţa utilizatorului, modificând astfel funcționalitatea dorită,
ceea ce poate conduce la dezvăluirea acreditărilor într-o sesiune de
încredere (CVE-2018-1728)
• IBM QRadar Incident Forensics
utilizează acreditări codate care ar putea permite unui atacator să
ocolească autentificarea configurată de administrator. (CVE-2018-1650)
IBM a publicat deja patch-uri pentru acestea vulnerabilități.
Produse afectate:
• IBM Qradar 7.2.0 - 7.2.8 Patch 13
• IBM Qradar 7.3.0 - 7.3.1 Patch 6