QRadar javítás
Az IBM több, harmadik féltől származó komponensekben található sérülékenységet javított a QRadar SIEM platformban. A hibák nem magában a QRadar saját kódjában voltak, hanem beépített open source és külső librarykben – például Java-, Linux kernel-, jQuery UI-, Axios-, Gradle- és egyéb framework komponensekben –, amelyeket automatizált eszközökkel potenciálisan ki lehetett használni.
Az IBM biztonsági bulletinjei szerint a sérülékenységek között szerepeltek cross-site scripting (XSS), privilege escalation, prototype pollution, denial-of-service és path traversal hibák is. Egyes komponensek – például Axios vagy Ramda – elméletileg akár távoli kódfuttatásra vagy cloud compromise láncokra is felhasználhatók lehettek megfelelő exploitkörnyezetben.
A QRadar különösen érzékeny célpont, mivel a SIEM-rendszerek nagy mennyiségű naplóadatot, hitelesítő adatot és biztonsági eseményt kezelnek. Egy kompromittált SIEM-platform nemcsak monitorozási vakfoltot okozhat, hanem lehetőséget adhat támadóknak az incidenskezelés manipulálására, logtörlésre vagy további laterális mozgásra is SOC-környezetekben.
Az IBM több QRadar komponenshez és alkalmazáshoz – például Log Source Management, Investigation Assistant és Assistant App – adott ki frissítéseket, és sürgős patch-elést javasol a támogatott 7.5.x verziókhoz.
