Lỗ hổng trong Qradar của IBM cho phép thực thi lệnh từ xa

04:00 PM 01/06/2018 In bài viết

Qradar của IBM là một sản phẩm quản lý sự kiện và thông tin bảo mật doanh nghiệp (security information and event management - SIEM), được thiết kế để giúp các nhà phân tích bảo mật xác định các mối đe dọa phức tạp trên mạng của họ và cải thiện việc khắc phục sự cố.

Nhà nghiên cứu độc lập Pedro Ribeiro phát hiện ra rằng Qradar của IBM bị ảnh hưởng bởi 3 lỗ hổng nghiêm trọng tiềm ẩn. Ông đã báo cáo với gã khổng lồ công nghệ này thông qua chương trình SecuriTeam Secure Disclosure của hãng bảo mật Beyond Security.

Theo IBM, các lỗ hổng bảo mật ảnh hưởng tới QRadar SIEM 7.3.0 đến 7.3.1 Patch 2 và QRadar SIEM 7.2.0 tới 7.2.8 Patch 11. Các bản vá bao gồm các phiên bản 7.3.1 Patch 3 và 7.2.8 Patch 12.

Theo Beyond Security, Qradar có một ứng dụng được tích hợp sẵn để thực hiện phân tích bằng chứng trên các tập tin. Trong khi ứng dụng bị vô hiệu hóa trong Community Edition, mã vẫn còn và một phần của mã vẫn hoạt động.

Ứng dụng có 2 thành phần: một Java servlet (chương trình chạy trên một Web hoặc ứng dụng máy chủ) và một thành phần chính, sử dụng PHP. Thành phần đầu tiên bị ảnh hưởng bởi một lỗ hổng có thể bị khai thác để bỏ qua xác thực, trong khi thành phần thứ hai có một lỗ hổng có thể bị lợi dụng để tải về và thực thi một trình tiện ích (shell).

Lỗ hổng ảnh hưởng tới thành phần PHP yêu cầu xác thực, nhưng điều này cũng có thể đạt được bằng việc khai thác lỗ hổng đầu tiên. Kết hợp những lỗ hổng đầu tiên này cho phép tin tặc từ xa để thực thi các lệnh tùy ý trên hệ thống, nhưng chỉ với những đặc quyền thấp (tức là người dùng “nobody"). Tuy nhiên, Ribeiro đã phát hiện ra một lỗ hổng thứ ba có thể bị khai thác tới các đặc quyền leo thang từ “nobody" tới gốc (root).

Beyond Security đã xây dựng các chi tiết kỹ thuật và mã chứng minh khái niệm PoC (proof-of-concept) cho các lỗ hổng bảo mật này.

Pedro Ribeiro đã tìm thấy hàng loạt lỗ hổng nghiêm trọng trong những năm qua, bao gồm trong các sản phẩm từ Netgear, NUUO, Asus, Kaseya, BMC.

Linh Anh (https://www.securityweek.com/flaws-ibm-qradar-allow-remote-command-execution)