Wykryto wiele luk w zabezpieczeniach IBM QRadar Wincollec powiązanych z odmową usługi, których użycie może pozwolić ugrupowaniu zagrażającemu na zakłócenie korzystania z usługi. Błędom przypisano numery: CVE-2023-38039, CVE-2023-1255 i CVE-2022-25883.
Krótko o SIEM
SIEM, czyli Security Information and Event Management to rodzaj systemu używanego od ponad dekady w działach bezpieczeństwa IT. Systemy SIEM zapewniają całościowy wgląd w to, co dzieje się w sieci w czasie rzeczywistym i w aktywny sposób pomagają zespołom IT w walce z zagrożeniami. Wyjątkowość rozwiązań SIEM polega na połączeniu zarządzania incydentami bezpieczeństwa z zarządzaniem informacjami o monitorowanym środowisku. Dla organizacji, która chce pełnej widoczności i kontroli nad tym, co dzieje się w jej sieci w czasie rzeczywistym, rozwiązania SIEM mają najważniejsze znaczenie.
Niestety, jak każde oprogramowanie, SIEM może posiadać luki, i tak właśnie zdarzyło się w IBM QRadar SIEM, o czym właśnie teraz napiszemy. (Przypominamy, iż w zeszłym tygodniu opisywaliśmy krytyczną lukę w Splunk. Najważniejsze, iż IBM udostępnił poprawki zabezpieczeń eliminujące te luki wraz z poradnikiem dotyczącym bezpieczeństwa. Ponadto zachęca użytkowników do łatania.
Podatne produkty
Problem dotyczy QRadar WinCollect Agent w wersjach 10.0-10.1.7.
Poprawione wersje:
- WinCollect Standalone Agent 10.1.8,
- WinCollect Agent MSI (64-bitowy) wersja standalone,
- WinCollect Agent MSI (32-bitowy) wersja standalone.
Użytkownikom tych produktów zaleca się aktualizację do najnowszej wersji, aby zapobiec wykorzystaniu luk przez cyberprzestępców.
Poniżej zamieściliśmy opisy trzech najważniejszych luk.
CVE-2022-25883. Odmowa usługi w pakiecie semver Node.js
Luka jest powiązana z pakietem semver Node.js i wywołana jest błędem w zakresie odmowy usługi wyrażeń regularnych (ReDoS) w nowej funkcji zakresu. Osoba atakująca może wykorzystać specjalnie spreparowane dane wejściowe wyrażenia regularnego, aby wykorzystać tę lukę. Poziom ważności wynosi tu 5,3 (średni).
CVE-2023-1255. Odmowa usługi w OpenSSL
Luka występuje w OpenSSL ze względu na błąd w implementacji deszyfrowania AES-XTS dla 64-bitowych platform ARM. Osoba zagrażająca może wysłać specjalnie spreparowane żądanie, które może spowodować awarię aplikacji. Poziom ważności tej luki wynosi 3,7 (niski).
CVE-2023-38039. Odmowa usługi w cURL libcurl
Luka występuje w bibliotece cURL libcurl z powodu niewystarczającego ograniczenia liczby i rozmiaru nagłówków akceptowanych w odpowiedzi. Osoba zagrażająca może wysłać specjalnie spreparowane żądanie, które może wyczerpać stertę pamięci i spowodować stan odmowy usługi. Poziom tej luki wynosi 7,5 (wysoki).
IBM opublikował pełny raport, zawierający szczegółowe informacje na temat tych i wielu innych luk.