QRadar远程命令执行(CVE-2018-1418)

匿名者  2360天前

漏洞详情


根据白帽汇安全研究院关注到的消息,独立安全研究员Pedro Ribeiro在IBM的QRadar产品中发现了三个影响其安全性的漏洞,CVE-2018-1418,允许远程未经身份验证的攻击者绕过身份验证并使用root权限执行任意命令。

IBM QRadar SIEM:7.3.0和7.3.1已确认; 可能自2014年年中以来发布的所有版本都受到影响。

IBM QRadar 是一款企业安全信息和事件管理产品,用于帮助安全分析师识别其网络中的复杂威胁并改善事件修补措施。目前根据华顺信安FOFA系统数据显示,目前全网共有828个系统对外开放。由于该系统主要用于大型网络环境,漏洞将影响网络较大的企业和厂商,需要相关大企业高度重视。

image.png

QRadar全球分布情况(仅为分布情况,非漏洞受影响情况)

漏洞原理与危害


Radar具有内置应用程序,可以对某些文件执行取证分析。这在免费的Community Edition中是禁用的,但代码仍然存在,并且其中的一部分仍然有效。这个应用程序有两个组件,一个运行在Java中的servlet和一个运行PHP的主Web应用程序。此漏洞利用取证应用程序的两个组件以绕过认证并将文件写入磁盘,然后cron作业将权限提升为root。

QRadar拥有一个Apache反向代理,它位于所有Web应用程序之前,根据URL来路由请求。发送到/console/ *的请求会路由到主“控制台”应用程序,该应用程序不仅运行Web界面,还执行QRadar的主要功能。然后有几个助手应用程序,例如上面描述的取证应用程序,可以在/ forensics和/ForensicAnalysisServlet(SOLR服务器,可在/solr和其他地方找到)访问

漏洞POC


FoFA客户端已经支持该漏洞检测。

3333.png

修复建议


供应商已发布可通过访问此页面找到的修补程序:http://www.ibm.com/support/docview.wss?uid=swg22015797

参考


[1]https://blogs.securiteam.com/index.php/archives/3689#more-3689

北京华顺信安从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论