IBM QRadar安全信息和事件管理(SIEM)平台中存在一个严重的权限配置错误,这可能允许本地特权用户在未经授权的情况下操纵配置文件。
该漏洞编号为CVE-2025-0164,源于权限分配不当</b0,其CVSS 3.1基础评分为2.3(AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N)。
Key Takeaways
1. CVE-2025-0164 in QRadar SIEM v7.5–7.5.0 UP13 IF01 lets privileged locals alter config files.
2. Vulnerability stems from CWE-732 (Incorrect Permission Assignment for Critical Resource).
3. Apply UP13 IF02, limit admin access, and watch /opt/qradar/conf.
权限分配错误漏洞
该漏洞源于对关键资源的权限分配不正确(CWE-732),这导致在运行7.5至7.5.0 UP13 IF01版本的QRadar SIEM安装中,未能对配置目录和文件实施适当的访问控制。
拥有现有高级权限的本地用户(例如系统管理员或支持工程师)可以利用有缺陷的文件系统权限来更改关键配置参数、修改日志记录策略或禁用检测规则。
攻击者可以通过对受保护路径调用shell命令来编写自动修改脚本。
这些未授权的更改可能会一直存在,直到通过人工干预得到纠正,并且可能会通过在审计日志中掩盖恶意活动,或者允许在未被察觉的情况下进行进一步的未授权操作,从而阻碍事件响应工作。
| 风险因素 | 详情 |
| 受影响产品 | IBM QRadar SIEM 7.5–7.5.0 UP13 IF01 |
| 影响 | 对配置文件的未授权修改、规则禁用或日志记录策略变更 |
| 利用前提条件 | 本地特权用户访问 |
| CVSS 3.1 评分 | 2.3(低) |
缓解措施
为修复CVE-2025-0164,IBM已发布QRadar 7.5.0 UP13 IF02,该版本修正了文件和目录权限,将写入权限仅限制于QRadar服务账户。
管理员应立即通过IBM Fix Central下载更新,在受影响的系统上应用此临时修复程序。
可使用修复ID 7.5.0-QRADAR-QRSIEM-20250904123850INT获取适用的修复程序。对于允许特权用户进行shell级访问的环境,不存在替代解决方案。
作为预防措施,各组织应仅向受信任人员授予本地管理员权限,并监控/opt/qradar/conf目录中的文件系统变化。
保持健全的访问控制和及时的补丁更新对于维护安全监控基础设施的完整性仍然至关重要。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
