IBM corrige des failles affectant son produit QRadar

Trois vulnérabilités, découvertes par le chercheur Pedro Ribeiro, ont été corrigées dans le produit IBM QRadar. L'exploitation combinée de ces vulnérabilités pourrait avoir un impact critique en permettant à un attaquant distant non authentifié d'exécuter des commandes arbitraires avec les privilèges root sur les produits vulnérables.

Description de l'attaque

QRadar dispose d'une application intégrée pour réaliser une analyse forensique sur des fichiers. Bien que désactivée dans l'édition communautaire, le code reste présent, et une partie est toujours exécutée. L'application se compose d'un servlet Java et du composant principal en PHP. Le premier composant est touché par une vulnérabilité permettant le contournement de l'authentification, tandis que le second dispose d'une faille qui pourrait être exploitée pour télécharger et exécuter un shell. La troisième vulnérabilité permettrait, quant à elle, de provoquer une élévation de privilèges pour disposer des droits root. Ce qui permet l'exécution de commande arbitraire en tant que super-utilisateur.

Il est à noter que le blog de Beyond Security a fourni d'amples détails techniques sur ces vulnérabilités.

Informations
+

Impact

  • Exécution de commandes arbitraires à distance.

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

Composants & versions vulnérables

  • IBM QRadar SIEM 7.3.0 à 7.3.1 Patch 2;
  • IBM QRadar SIEM 7.2.0 à 7.2.8 Patch 11

CVE

  • Les trois vulnérabilités sont collectivement suivies par la même référence: CVE-2018-1418 

Recommandations
+

Correctifs

  • Un patch de sécurité a été publié par IBM corrigeant la vulnérabilité.
  • Des correctifs ont été inclus dans les versions 7.3.1 Patch 3 et 7.2.8 Patch 12.

Solution de contournement

  • Il n’existe pas de solution de contournement actuellement.