新闻快讯
< >

IBM安全信息和事件管理产品QRadar曝远程命令执行漏洞

E安全5月30日讯 独立研究员佩德罗·里贝罗在 IBM 的 QRadar 产品中发现了三个影响其安全性的漏洞,其中一个漏洞 CVE-2018-1418允许远程和未经身份验证的攻击者绕过身份验证并使用 root 权限执行任意命令。该漏洞CVSS评分为5.6分,但美国 NIST 的国家漏洞数据库(NVD)则建议评为9.8分。

 IBM QRadar产品中存漏洞 允许远程命令执行-E安全

IBM QRadar 是一款企业安全信息和事件管理(SIEM)产品,该产品用于帮助安全分析师识别其网络中的复杂威胁并改善事件修补措施。

受影响版本

佩德罗·里贝罗通过漏洞评估与管理公司 Beyond Security 的 SSD(SecuriTeam Secure Disclosure,SecuriTeam安全披露)计划向 IBM 公司报告此事。IBM 表示,安全漏洞影响了 :

  • QRadar SIEM 7.3.0 ~ 7.3.1 Patch 2版本;

  • QRadar SIEM 7.2.0 ~ 7.2.8 Patch 11版本;

  • QRadar SIEM 7.3.1 Patch 3版本;

  • 7.2.8 Patch 12版本。

根据 Beyond Security 公司的说法,QRadar 有一个用于对文件进行取证分析的内置应用程序。虽然在社区版(Community Edition)中禁用了该程序,但其代码仍然存在,且部分代码仍有效。该应用程序有两个组件:Java Servlet 和使用 PHP 的主要组件。

  • 漏洞 CVE-2018-1418对第一个组件 Java Servlet 有严重影响;

  • PHP 组件则存在一个可用于下载和执行 shell 的缺陷,需要身份验证,但这可以通过利用影响第一个组件的漏洞来实现。

  • 综合利用这些漏洞可让远程攻击者在系统上执行任意命令,但只能使用低权限(即“nobody”用户)。佩德罗·里贝罗发现的第三个漏洞可将权限从“nobody”升级到“root”权限。

漏洞评估与管理公司 Beyond Security 已为这些安全漏洞提供了技术细节和概念验证(PoC)代码。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。