E安全5月30日訊 獨立研究員佩德羅·里貝羅在 IBM 的 QRadar 產品中發現了三個影響其安全性的漏洞，其中一個漏洞 CVE-2018-1418允許遠程和未經身份驗證的攻擊者繞過身份驗證並使用 root 許可權執行任意命令。該漏洞CVSS評分為5.6分，但美國 NIST 的國家漏洞資料庫（NVD）則建議評為9.8分。

本文源自E安全

IBM QRadar 是一款企業安全信息和事件管理（SIEM）產品，該產品用於幫助安全分析師識別其網路中的複雜威脅並改善事件修補措施。

受影響版本

佩德羅·里貝羅通過漏洞評估與管理公司 Beyond Security 的 SSD（SecuriTeam Secure Disclosure，SecuriTeam安全披露）計劃向 IBM 公司報告此事。IBM 表示，安全漏洞影響了 ：

• QRadar SIEM 7.3.0 ~ 7.3.1 Patch 2版本；
• QRadar SIEM 7.2.0 ~ 7.2.8 Patch 11版本；
• QRadar SIEM 7.3.1 Patch 3版本；
• 7.2.8 Patch 12版本。

根據 Beyond Security 公司的說法，QRadar 有一個用於對文件進行取證分析的內置應用程序。雖然在社區版（Community Edition）中禁用了該程序，但其代碼仍然存在，且部分代碼仍有效。該應用程序有兩個組件：Java Servlet 和使用 PHP 的主要組件。

• 漏洞 CVE-2018-1418對第一個組件 Java Servlet 有嚴重影響；
• PHP 組件則存在一個可用於下載和執行 shell 的缺陷，需要身份驗證，但這可以通過利用影響第一個組件的漏洞來實現。
• 綜合利用這些漏洞可讓遠程攻擊者在系統上執行任意命令，但只能使用低許可權（即「nobody」用戶）。佩德羅

  ·

  里貝羅發現的第三個漏洞可將許可權從「nobody」升級到「root」許可權。

漏洞評估與管理公司 Beyond Security 已為這些安全漏洞提供了技術細節和概念驗證（PoC）代碼。

註：本文由E安全編譯報道,轉載請註明原文地址

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！