研究人员在 IBM QRadar 产品中发现了三个漏洞,远程未经验证的攻击者可结合它们绕过认证并以根权限执行任意命令。
IBM QRadar 是一款企业级安全信息和事件管理 (SIEM) 产品,旨在帮助安全分析员识别出网络中的复杂威胁并改进事件修复方案。
独立研究员 Pedro Ribeiro 发现 IBM QRadar 受这三个潜在严重漏洞的影响后通过 Beyond Security 公司的 SecuriTeam 安全披露计划告知 IBM。
影响版本及严重程度评分
IBM 指出,这些漏洞影响 QRadar SIEM 7.3.0 至7.3.1 Patch 2 的版本,以及 QRadar SIEM 7.2.0 至7.2.8 Patch 11 的版本。补丁已在版本7.3.1 Patch 3 和 7.2.8 Patch 12 中发布。
IBM 对这些漏洞的评分仅有5.6,且分配给这三个漏洞同一个编号 CVE-2018-1418。然而,这些问题看似要严重的多,而且它们在美国国家漏洞库中的评分是9.8,属于“严重”级别。
漏洞存在于应用组件中
Beyond Security 公司表示,QRadar 为执行文件取证分析提供内置应用。虽然这款应用在 Community Edition 中被禁止,但代码还在且部分代码仍然起作用。
这款应用有两个组件:一个 Java 伺服小程序和一个使用 PHP 的主组件。第一个组件中的漏洞可被用于绕过认证,而第二个组件中的漏洞可被用于下载并执行 shell。
影响 PHP 组件的缺陷虽然要求认证,但通过利用第一个漏洞就可实现这个目的。虽然结合使用这些漏洞能让远程攻击者在系统上执行任意命令,但只能以低权限(即 nobody 用户)执行。然而,Ribeiro 又发现了第三个可将该权限提升为根权限的漏洞。
Beyond Security 公司已发布技术详情和 PoC 代码。
Ribeiro 曾在多款产品中找到多个严重漏洞,如网件、NUUD、华硕、Kaseya 和 BMC 公司的产品。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
