IBM QRadar SIEM z dziurami w oprogramowaniu. Atakujący może przeprowadzić DoS

Krótko o SIEM

SIEM, czyli Security Information and Event Management to rodzaj oprogramowania używanego od ponad dekady w działach bezpieczeństwa IT. Systemy SIEM zapewniają całościowy wgląd w to, co dzieje się w sieci w czasie rzeczywistym i w aktywny sposób pomagają zespołom IT w walce z zagrożeniami. Wyjątkowość rozwiązań SIEM polega na połączeniu zarządzania incydentami bezpieczeństwa z zarządzaniem informacjami o monitorowanym środowisku. Dla organizacji, która chce pełnej widoczności i kontroli nad tym, co dzieje się w jej sieci w czasie rzeczywistym, rozwiązania SIEM mają kluczowe znaczenie.

Niestety, jak każde oprogramowanie, SIEM może posiadać luki, i tak właśnie zdarzyło się w IBM QRadar SIEM, o czym właśnie teraz napiszemy. (Przypominamy, że w zeszłym tygodniu opisywaliśmy krytyczną lukę w Splunk. Najważniejsze, że IBM udostępnił poprawki zabezpieczeń eliminujące te luki wraz z poradnikiem dotyczącym bezpieczeństwa. Ponadto zachęca użytkowników do łatania.

Podatne produkty

Problem dotyczy QRadar WinCollect Agent w wersjach 10.0-10.1.7.

Poprawione wersje:

• WinCollect Standalone Agent 10.1.8,
• WinCollect Agent MSI (64-bitowy) wersja standalone,
• WinCollect Agent MSI (32-bitowy) wersja standalone.

Użytkownikom tych produktów zaleca się aktualizację  do najnowszej wersji, aby zapobiec wykorzystaniu luk przez cyberprzestępców.

Poniżej zamieściliśmy opisy trzech najważniejszych luk.

CVE-2022-25883. Odmowa usługi w pakiecie semver Node.js

Luka jest powiązana z pakietem semver Node.js i wywołana jest błędem w zakresie odmowy usługi wyrażeń regularnych (ReDoS) w nowej funkcji zakresu. Osoba atakująca może wykorzystać specjalnie spreparowane dane wejściowe wyrażenia regularnego, aby wykorzystać tę lukę. Poziom ważności wynosi tu 5,3 (średni).

CVE-2023-1255. Odmowa usługi w OpenSSL

Luka występuje w OpenSSL ze względu na błąd w implementacji deszyfrowania AES-XTS dla 64-bitowych platform ARM. Osoba zagrażająca może wysłać specjalnie spreparowane żądanie, które może spowodować awarię aplikacji. Poziom ważności tej luki wynosi 3,7 (niski).

CVE-2023-38039. Odmowa usługi w cURL libcurl

Luka występuje w bibliotece cURL libcurl z powodu niewystarczającego ograniczenia liczby i rozmiaru nagłówków akceptowanych w odpowiedzi. Osoba zagrażająca może wysłać specjalnie spreparowane żądanie, które może wyczerpać stertę pamięci i spowodować stan odmowy usługi. Poziom tej luki wynosi 7,5 (wysoki).

IBM opublikował pełny raport, zawierający szczegółowe informacje na temat tych i wielu innych luk.