A IBM emitiu um boletim de segurança destacando múltiplas vulnerabilidades em seu QRadar Suite Software. Essas vulnerabilidades, que afetam vários componentes, foram abordadas na versão mais recente do software.
O IBM QRadar Suite Software é uma poderosa plataforma de segurança cibernética que integra SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation, and Response), análise de tráfego de rede e gerenciamento de vulnerabilidades em uma única solução unificada de detecção de ameaças, resposta a incidentes e gerenciamento de conformidade.
EHA
O QRadar Suite Software da IBM, juntamente com o IBM Cloud Pak for Security, contém diversas vulnerabilidades que podem ser exploradas por invasores.
IBM Cloud Pak for Security: Versões 1.10.0.0 a 1.10.11.0
Software QRadar Suite: Versões 1.10.12.0 a 1.10.23.0
Principais vulnerabilidades identificadas
De acordo com o relatório da IBM, essas vulnerabilidades variam de negação de serviço e script entre sites a manipulação inadequada de dados confidenciais e potencial execução arbitrária de código. Abaixo estão as descrições detalhadas e especificações técnicas de cada vulnerabilidade identificada:
Módulo Node.js jose (CVE-2024-28176): Esta vulnerabilidade envolve uma falha durante as operações de descriptografia JWE, que pode ser explorada para causar uma negação de serviço consumindo tempo excessivo de CPU ou memória.
“O módulo Node.js jose é vulnerável a uma negação de serviço, causada por uma falha durante as operações de descriptografia JWE. Ao enviar uma solicitação especialmente criada, um invasor remoto pode explorar essa vulnerabilidade para consumir uma quantidade irracional de tempo de CPU ou memória, resultando em uma condição de negação de serviço.’
Jinja Cross-Site Scripting (CVE-2024-34064): O mecanismo de modelo Jinja é vulnerável devido à aceitação de chaves com caracteres sem atributos, permitindo que invasores injetem atributos maliciosos em páginas da web, potencialmente roubando credenciais de autenticação.
” Um invasor remoto pode explorar essa vulnerabilidade para injetar outros atributos em uma página da Web que seriam executados no navegador da Web de uma vítima dentro do contexto de segurança do site de hospedagem, assim que a página for visualizada. “
IDNA Module Denial of Service (CVE-2024-3651): Um usuário local pode explorar o módulo idna usando um argumento especialmente criado para causar uma negação de serviço, consumindo recursos do sistema.
Armazenamento de credenciais em texto simples (CVE-2024-25024): O QRadar Suite armazena credenciais de usuário em texto simples, tornando-as acessíveis a usuários locais e representando um risco de acesso não autorizado.
Negação de serviço do gRPC no Node.js (CVE-2024-37168): Uma falha na alocação de memória no gRPC no Node.js pode ser explorada para causar uma negação de serviço enviando mensagens especialmente criadas.
Divulgação de informações do Node.js undici (CVE-2024-30260): O módulo undici no Node.js pode expor informações confidenciais devido ao manuseio impróprio de cabeçalhos de autorização, que podem ser usados para ataques posteriores.
Bypass de segurança do Node.js undici (CVE-2024-30261): Uma falha na opção de integridade de busca permite que restrições de segurança sejam ignoradas, aceitando solicitações adulteradas como válidas.
Exibição de dados imprópria (CVE-2024-28799): O QRadar Suite Software exibe incorretamente dados confidenciais durante comandos de backend, levando a uma divulgação inesperada.
Execução de código arbitrário em fast-loops (CVE-2024-39008): Uma vulnerabilidade nos fast-loops do robinweser permite a execução remota de código por meio da poluição de protótipos, representando um alto risco de execução de código arbitrário ou negação de serviço.
Node.js ip Module SSRF (CVE-2024-29415): O módulo ip no Node.js é vulnerável à falsificação de solicitação do lado do servidor, permitindo que invasores conduzam ataques SSRF devido à categorização inadequada de endereço IP.
Correção e correções
A IBM recomenda fortemente que os usuários atualizem para a versão 1.10.24.0 ou posterior. Instruções detalhadas para atualização podem ser encontradas aqui.
No momento, nenhuma solução alternativa ou mitigação está disponível. Os usuários são incentivados a aplicar as atualizações imediatamente.
