IBM QRadar SIEM: Kritische Lücke durch Drittherstellerkomponente
IBM QRadar SIEM bringt einige Dritthersteller-Module mit. In diesen klaffen teils kritische Lücken. Updates stehen bereit.
Es gibt Sicherheitslücken in der Sicherheitssoftware.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Sicherheitslücken in Dritthersteller-Komponenten gefährden die Sicherheit der IBM Security QRadar Analyst Workflow-App aus IBMs QRadar SIEM (Security Information and Event Management-System). Aktualisierte Software steht bereit, die die Sicherheitslecks abdichtet.
Die Analyst Workflow App bringt IBMs Sicherheitsmitteilung zufolge unter anderem die Bibliothek Node.js mit. Aufgrund einer Server Side Request Forgery-Schwachstelle in Node.js können Angreifer aus dem Netz beliebigen Code aufs System schleusen und ausführen. Das gelingt durch sorgsam präparierte Anfragen, die eine hexadezimale Präsentation von IP-Adressen nutzen (CVE-2023-42282, CVSS 9.8, Risiko "kritisch"). Zugangsdaten könnten Node.js durch eine Lücke im "Follow-Redirects"-Modul entfleuchen (CVE-2023-28849, CVSS 6.5, mittel).
Mehrere Lücken in Node.js gefährden IBM QRadar SIEM
Ebenfalls durch das "Follow-Redirects"-Modul können bösartige Akteure Phishing-Angriffe ausführen, da es eine Open-Redirect-Lücke aufgerissen hat (CVE-2023-26159, CVSS 6.1, mittel). Eine weitere Komponente namens PostCSS ermöglichte Angreifern zudem, Sicherheitsbeschränkungen zu umgehen (CVE-2023-44270, CVSS 5.3, mittel).
Die Schwachstellen betreffen IBMs Entwicklern zufolge Analyst Workflow in den Versionen 1.0.0 bis einschließlich 2.32.0. Die Version 2.32.1 von IBM Security QRadar Analyst Workflow steht inzwischen zum Herunterladen bereit und schließt alle genannten Sicherheitslücken. Andere Gegenmaßnahmen zum Abdichten der Lecks nennt IBM nicht, nur die Aktualisierung der Software hilft demnach. Da eine der Schwachstellen als kritisches Risiko eingestuft wurde, sollten IT-Verantwortliche die Aktualisierung zügig vornehmen.
Bereits Anfang Februar hat IBM Sicherheitslücken in QRadar SIEM geschlossen. Etwa die Programmbibliothek LAPACK riss ein als kritisches Risiko eingeordnetes Sicherheitsleck ins Add-on User Behavior Analytics.
(dmk)