IBM QRadar Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) platformundaki kritik bir izin yanlış yapılandırma, yerel ayrıcalıklı kullanıcıların yapılandırma dosyalarını yetkilendirmeden manipüle etmesine izin verebilir.
CVE-2025-0164 olarak izlenen kusur, uygunsuz izin atamasından kaynaklanır ve 2.3 CVSS 3.1 baz skoru taşır (AV: L/AC: L/PR: H/UI: N/S: U/C: L/I: N/A: N).
Key Takeaways
1. CVE-2025-0164 in QRadar SIEM v7.5–7.5.0 UP13 IF01 lets privileged locals alter config files.
2. Vulnerability stems from CWE-732 (Incorrect Permission Assignment for Critical Resource).
3. Apply UP13 IF02, limit admin access, and watch /opt/qradar/conf.
Yanlış İzin Atama Kususu
Güvenlik açığı, 7.5 ila 7.5.0 UP13 IF01 sürümlerini çalıştıran Qradar SIEM kurulumları içindeki yapılandırma dizinleri ve dosyalardaki uygun erişim kontrollerini uygulanmayan kritik kaynaklar için yanlış izin atamasından (CWE-732) ortaya çıkar.
Mevcut üst düzey ayrıcalıklara sahip yerel bir kullanıcıbir sistem yöneticisi veya destek mühendisi gibi, Anahtar yapılandırma parametrelerini değiştirmek, günlüğe kaydetme politikalarını değiştirmek veya algılama kurallarını devre dışı bırakmak için kusurlu dosya sistemi izinlerinden yararlanabilir.
Saldırganlar, korumalı yollara karşı kabuk komutlarını çağırarak otomatik değişiklikleri senaryo yapabilir.
Bu yetkisiz değişiklikler, manuel müdahale ile giderilene kadar devam edebilir ve denetim günlüklerinde kötü niyetli faaliyetleri maskeleyerek veya tespit edilmeden daha fazla yetkisiz eylemlere izin vererek olay müdahalesi çabalarını hayal kırıklığına uğratabilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | IBM QRADAR SIEM 7.5–7.5.0 UP13 IF01 |
| Darbe | Dosyaları yapılandırmak, kuralları devre dışı bırakmak veya günlüğe kaydetme politikalarını değiştirmek için yetkisiz değişiklikler |
| Önkoşuldan istismar | Yerel ayrıcalıklı kullanıcı erişimi |
| CVSS 3.1 puanı | 2.3 (düşük) |
Hafifletme
CVE-2025-0164’ü düzeltmek için IBM, yazma erişimini yalnızca QRadar Hizmet Hesabına kısıtlamak için dosya ve dizin izinlerini düzelten QRadar 7.5.0 UP13 IF02’yi yayınladı.
Yöneticiler, IBM Fix Central’dan güncellemeyi indirerek geçici düzeltmeyi hemen etkilenen sistemlere uygulamalıdır.
Uygulanabilir düzeltme, FIX ID 7.5.0-QRADAR-QRSIEM-20250904123850int kullanılarak alınabilir. Ayrıcalıklı kullanıcıların kabuk düzeyinde erişime izin verildiği ortamlar için geçici çözüm yoktur.
Önlem olarak, kuruluşlar yerel idari ayrıcalıkları yalnızca güvenilir personelle sınırlamalı ve/opt/qradar/conf’daki dosya sistemi değişikliklerini izlemelidir.
Güvenlik izleme altyapılarının bütünlüğünü korumak için sağlam erişim kontrollerinin ve zamanında yama yapmanın sürdürülmesi gerekmektedir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.