Zdalne wykonanie poleceń w platformie SIEM IBM QRadar

Analityk z firmy Beyond Security odkrył trzy podatności w oprogramowaniu SIEM IBM QRadar, które służy do analizy bezpieczeństwa informatycznego i pozwala zautomatyzować proces obsługi incydentów. Luki, którym nadano wspólny identyfikator CVE-2018-1418, umożliwiają zdalne wykonanie poleceń z uprawnieniami administratora. Problem dotyczy wbudowanej aplikacji do analizy plików, która składa się z serwletu Javy i napisanego w PHP komponentu głównego. Przedstawiony przez eksperta scenariusz ataku zaczyna się od obejścia uwierzytelniania, na które podatny jest ForensicAnalysisServlet. Kolejny krok polega na wykorzystaniu luki w aplikacji internetowej PHP, która umożliwia wstrzyknięcie polecenia. Trzeci z odkrytych przez badacza błędów pozwala na podwyższenie poziomu uprawnień, co stanowi ostatni etap ataku. Według firmy IBM podatności występują w wersjach QRadar SIEM 7.3.0–7.3.1 Patch 2 i 7.2.0–7.2.8 Patch 11.

Ryzyko duże: W sieci dostępny jest kod proof-of-concept pokazujący, jak można wykorzystać nowo odkryte luki.

Działania krótkoterminowe: Aktualizacja podatnego oprogramowania do wersji 7.3.1 Patch 3 lub 7.2.8 Patch 12.

Źródło: https://blogs.securiteam.com/index.php/archives/3689