IBM QRadar再曝漏洞 允许黑客远程命令执行

研究人员在IBM的QRadar产品中发现的三个漏洞可能被利用，这个漏洞允许远程未经身份验证的攻击者绕过身份验证并使用root权限执行任意命令。

IBM QRadar是一款企业安全信息和事件管理（SIEM）产品，旨在帮助安全分析师识别其网络中的复杂威胁并改善事件修复。

独立研究员Pedro Ribeiro发现IBM QRadar受到三个潜在严重漏洞的影响，他通过Beyond Security的SecuriTeam Secure Disclosure计划向该技术巨头报告。

据IBM称，安全漏洞影响了QRadar SIEM 7.3.0到7.3.1补丁2以及QRadar SIEM 7.2.0到7.2.8补丁11.补丁包含在版本7.3.1补丁3和7.2.8补丁12中。

IBM已将这些漏洞分配给CVSS分数仅为5.6，并将其统称为CVE-2018-1418。然而，问题似乎严重和咨询 NIST的国家漏洞数据库（NVD）是得分9.8，这表明一个“关键”的严重等级。

根据Beyond Security的说法，QRadar有一个用于对文件进行取证分析的内置应用程序。在Community Edition中禁用应用程序的同时，代码仍然存在，部分代码仍然有效。

该应用程序有两个组件：一个Java servlet和使用PHP的主要组件。第一个组件受到可被利用来绕过身份验证的漏洞的影响，而第二个组件有一个可用于下载和执行shell的缺陷。

影响PHP组件的缺陷需要身份验证，但这可以通过利用第一个漏洞来实现。链接这些漏洞允许远程攻击者在系统上执行任意命令，但只能使用低权限（即“nobody”用户）。但是，Ribeiro发现了第三个漏洞，可以利用这个漏洞将特权从“nobody”升级到root。

Beyond Security 为这些安全漏洞提供了技术细节和概念证明（PoC）代码。

Ribeiro在过去几年中发现了许多严重的漏洞，包括来自Netgear，NUUO，Asus，Kaseya和BMC的产品。