พบช่องโหว่ระดับร้ายแรงใน IBM QRadar แนะนำควรอัปเดต

Pedro Ribeiro นักวิจัยด้านความมั่นคงปลอดภัยได้รายงาน 3 ช่องโหว่ของ IBM QRadar ซึ่งมีผลเมื่อใช้ประกอบกันทำให้ผู้โจมตีที่ไม่ได้พิสูจน์ตัวตนจากทางไกลสามารถลัดผ่านกระบวนการพิสูจน์ตัวตนและลอบรันค่ำสั่งด้วยสิทธิ์ระดับผู้ดูแลได้

IBM QRadar คือผลิตภัณฑ์ด้าน SIEM ที่ได้รับความนิยมยี่ห้อหนึ่ง โดยช่องโหว่มีผลกระทบกับผู้ใช้งาน SIEM 7.3.0 ถึง 7.3.1 แพตช์ 2 และ SIEM 7.2.0 ถึง 7.2.8 แพตช์ 11 ดังนั้นทาง IBM จึงได้ออกแพตช์แก้ไขใน 7.3.1 แพตช์ 3 และ 7.2.8 แพตช์ 12 แนะนำว่าให้รีบอัปเดต เพราะระดับความรุนแรงที่ NIST ได้ให้ไว้นั้นอยู่ในระดับร้ายแรงถึง 9.8 เลยที่เดียวแม้ว่าทาง IBM เองจะให้คะแนนเพียงแค่ 5.6 สำหรับช่องโหว่หมายเลข CVE-2018-1418 นี้

อันที่จริงแล้วภายใน QRadar มีแอปพลิเคชันเพื่อการวิเคราะห์หลักฐาน (forensic) บนไฟล์ และ ตัวแอปพลิเคชันนี้ไม่ได้เปิดใช้งานใน Community Edition แต่ส่วนของโค้ดยังอยู่ภายในและใช้งานได้ ซึ่งภายในแอปพลิเคชันนี้ประกอบด้วย 2 ส่วนคือ Java Servlet และ ส่วนประกอบหลักที่เขียนโดย PHP โดยช่องโหว่ที่พบมีดังนี้

• ภายใน Servlet นั้นมีช่องโหว่ที่ทำให้เกิดการลัดผ่านกระบวนการพิสูจน์ตัวตน
• ภายในส่วนประกอบหลักมีช่องโหว่ที่ทำให้สามารถดาวน์โหลดและ Execute shell ได้ แต่ช่องโหว่นี้จะใช้ได้ก็ต่อเมื่อได้รับการพิสูจน์ตัวตนแล้ว

ดังนั้นเมื่อใช้งาน 2 ช่องโหว่รวมกันจะทำให้ผู้โจมตีจากระยะไกลสามารถ Execute คำสั่งบนระบบได้ แต่มีสิทธิ์ระดับต่ำเท่านั้น อย่างไรก็ตามโชคร้ายที่ Ribeiro ไปพบช่องโหว่เพิ่มอีกหนึ่งจุดและส่งผลให้ยกระดับสิทธิ์จาก ‘nobody’ เป็น ‘root’ ได้ จึงกลายเป็นหายนะทันที ผู้สนใจสามารถติดตามรายละเอียดเชิงเทคนิคและโค้ด PoC ได้ที่รายงานนี้