IBM QRadar Güvenlik Açıkları Saldırganların Uzaktan Keyfi Kod Tetiklemesine İzin Veriyor


IBM QRadar Güvenlik Açıkları

IBM, QRadar Suite Yazılımındaki birden fazla güvenlik açığını vurgulayan bir güvenlik bülteni yayınladı. Çeşitli bileşenleri etkileyen bu güvenlik açıkları, son yazılım sürümünde giderildi.

IBM QRadar Suite Yazılımı, SIEM (Güvenlik Bilgileri ve Olay Yönetimi), SOAR (Güvenlik Orkestrasyonu, Otomasyonu ve Yanıtı), ağ trafiği analizi ve güvenlik açığı yönetimini tek bir birleşik çözümde birleştiren güçlü bir siber güvenlik platformudur; tehdit tespiti, olay yanıtlama ve uyumluluk yönetimi.

DÖRT

IBM’in QRadar Suite Yazılımı ile IBM Cloud Pak for Security’nin, saldırganlar tarafından istismar edilebilecek çeşitli güvenlik açıkları içerdiği tespit edildi.

  • Güvenlik için IBM Cloud Pak: 1.10.0.0 ile 1.10.11.0 arasındaki sürümler
  • QRadar Suite Yazılımı: 1.10.12.0 ile 1.10.23.0 arasındaki sürümler

Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot

Belirlenen Temel Güvenlik Açıkları

IBM raporuna göre, bu güvenlik açıkları hizmet reddi ve siteler arası betiklemeden hassas verilerin uygunsuz şekilde işlenmesine ve olası keyfi kod yürütmeye kadar uzanmaktadır. Aşağıda, belirlenen her güvenlik açığının ayrıntılı açıklamaları ve teknik özellikleri yer almaktadır:

Node.js jose Modülü (CVE-2024-28176): Bu güvenlik açığı, JWE Şifre Çözme işlemleri sırasında oluşan ve aşırı CPU zamanı veya bellek tüketerek hizmet reddi yaratabilen bir açığı kapsamaktadır.

“Node.js jose modülü, JWE Şifre Çözme işlemleri sırasında oluşan bir kusurdan kaynaklanan bir hizmet reddi durumuna karşı savunmasızdır. Özel olarak hazırlanmış bir istek göndererek, uzak bir saldırgan bu güvenlik açığını kullanarak makul olmayan miktarda CPU zamanı veya bellek tüketebilir ve bu da bir hizmet reddi durumuyla sonuçlanabilir.’

Jinja Siteler Arası Komut Dosyası (CVE-2024-34064): Jinja şablon motoru, nitelik dışı karakterlere sahip anahtarların kabul edilmesi nedeniyle güvenlik açığına sahiptir ve bu durum saldırganların web sayfalarına kötü amaçlı nitelikler enjekte etmesine ve kimlik doğrulama bilgilerini çalmasına olanak tanır.

“Uzaktaki bir saldırgan, bu güvenlik açığını kullanarak, sayfa görüntülendiğinde, barındırma web sitesinin güvenlik bağlamında kurbanın web tarayıcısında yürütülecek başka nitelikler enjekte edebilir.”

idna Modülü Hizmet Reddi (CVE-2024-3651):Yerel bir kullanıcı, özel olarak hazırlanmış bir argüman kullanarak idna modülünü istismar edebilir ve sistem kaynaklarını tüketerek hizmet reddi oluşturabilir.

Düz Metin Kimlik Bilgisi Depolama (CVE-2024-25024): QRadar Suite, kullanıcı kimlik bilgilerini düz metin olarak depolar ve bu sayede yerel kullanıcılar bunlara erişebilir ve yetkisiz erişim riski oluşturur.

Node.js Hizmet Reddi Üzerinde gRPC (CVE-2024-37168): Node.js üzerindeki gRPC’deki bellek ayırmadaki bir kusur, özel olarak hazırlanmış mesajlar gönderilerek hizmet reddi oluşturmak için kullanılabilir.

Node.js undici Bilgi Açıklaması (CVE-2024-30260): Node.js’deki undici modülü, Yetkilendirme başlıklarının uygunsuz kullanımı nedeniyle hassas bilgileri açığa çıkarabilir ve bu bilgiler daha sonraki saldırılarda kullanılabilir.

Node.js Undicici Güvenlik Baypası (CVE-2024-30261): Getirme bütünlüğü seçeneğindeki bir kusur, güvenlik kısıtlamalarının aşılmasına ve değiştirilmiş isteklerin geçerli olarak kabul edilmesine olanak tanır.

Uygunsuz Veri Görüntüleme (CVE-2024-28799): QRadar Suite Yazılımı, arka uç komutları sırasında hassas verileri düzgün bir şekilde görüntüleyemiyor ve bu da beklenmeyen ifşalara yol açıyor.

Hızlı döngülerde keyfi kod yürütme (CVE-2024-39008):Robinweser’in hızlı döngülerindeki bir güvenlik açığı, prototip kirliliği yoluyla uzaktan kod yürütülmesine izin vererek, keyfi kod yürütülmesi veya hizmet reddi riskini yüksek düzeyde artırıyor.

Node.js ip Modülü SSRF (CVE-2024-29415): Node.js’deki ip modülü, sunucu taraflı istek sahteciliğine karşı savunmasızdır ve bu durum, saldırganların uygunsuz IP adresi kategorizasyonu nedeniyle SSRF saldırıları gerçekleştirmesine olanak tanır.

IBM, kullanıcıların 1.10.24.0 veya sonraki sürüme yükseltme yapmalarını şiddetle tavsiye eder. Yükseltme için ayrıntılı talimatlar burada bulunabilir.

Şu anda herhangi bir geçici çözüm veya hafifletme yöntemi mevcut değildir. Kullanıcıların güncellemeleri derhal uygulamaları önerilir.

Easily analyze emerging malware with ANY.RUN interactive online sandbox - Try 14 Days Free Trial





Source link