Компания IBM выпустила бюллетень безопасности, предупреждающий о двух уязвимостях в компоненте IBM SOAR QRadar Plugin App. Эта проблема затрагивает версию 5.3.1 продукта и связана с использованием уязвимых сторонних библиотек. Администраторам систем информационной безопасности необходимо срочно принять меры: обновление до версии 5.6.4 устраняет обе угрозы.
Детали уязвимостей
Плагин IBM SOAR QRadar входит в экосистему продуктов IBM, предназначенных для оркестрации и автоматизации реагирования на инциденты. SOAR (Security Orchestration, Automation and Response) - это класс платформ, объединяющих действия по анализу угроз, управлению оповещениями и выполнению сценариев реагирования. Когда в таком продукте появляются уязвимости, под угрозой оказывается вся инфраструктура, которая на него полагается.
Первая уязвимость получила идентификатор CVE-2026-27448 и базовый балл по шкале CVSS (Common Vulnerability Scoring System - международная система оценки опасности уязвимостей) 5,3 - уровень "средний". Она лежит в библиотеке pyOpenSSL (Python-обёртка для криптографической библиотеки OpenSSL) и связана с некорректной обработкой исключений. Если пользовательский callback-функция, переданная для обработки TLS-расширения имени сервера, вызывает необработанное исключение, соединение всё равно принимается - механизм не отвергает его. Это классифицируется как ошибка CWE-636: "Небезопасный отказ в открытом виде". Иными словами, если администратор надеется на callback при проверке серверного имени (например, при фильтрации фишинговых запросов), его обход становится возможен.
Вторая уязвимость - CVE-2026-27459 - гораздо опаснее. Её базовый балл 9,8 из 10 ("критический"). Она также находится в pyOpenSSL, но затрагивает функцию "set_cookie_generate_callback". Если callback возвращает значение cookie длиннее 256 байт, библиотека переполняет выделенный буфер. Это типичная ошибка CWE-120: "Копирование в буфер без проверки размера входных данных". Злоумышленник может эксплуатировать её удалённо, без аутентификации, и без взаимодействия с пользователем. Вектор атаки (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) означает, что для эксплуатации требуется только сетевая доступность, сложность низкая, а последствия - полная компрометация конфиденциальности, целостности и доступности данных. На практике это означает, что атакующий может выполнить произвольный код на сервере, где работает плагин.
Обе уязвимости были исправлены в версии pyOpenSSL 26.0.0. Плагин IBM SOAR QRadar использует эту библиотеку как встраиваемый компонент. Компания IBM выпустила обновление приложения до версии 5.6.4, в котором проблема решена. Других мер для обхода уязвимости не предусмотрено - только установка патча.
Почему это событие важно? Системы класса SOAR часто разворачиваются в центрах мониторинга и управления инцидентами (SOC - Security Operations Center). Они обрабатывают поток данных от множества датчиков и автоматически запускают действия. Уязвимость в плагине, который связывает IBM SOAR с QRadar (SIEM-система, или класс продуктов для управления событиями информационной безопасности и корреляции данных), может стать точкой входа для злоумышленника. При критическом характере CVE-2026-27459 атакующий получает полный контроль над компонентом. Это не просто утечка журналов - это возможность изменять правила реагирования, отключать оповещения или внедрять ложные сценарии.
Последствия для бизнеса понятны: нарушение работы службы безопасности, компрометация данных инцидентов, возможные регуляторные штрафы. Кроме того, если плагин развёрнут в облачной среде или в гибридной инфраструктуре, атака может затронуть сразу несколько сегментов сети.
Администраторам рекомендуется немедленно обновить плагин до актуальной версии. Для этого нужно перейти по ссылке, указанной в бюллетене IBM, или обратиться к порталу поддержки. Перед установкой патча стоит проверить системы на наличие признаков компрометации - необычных запросов к серверу, аномальных cookie, подозрительных процессов. Также важно помнить, что уязвимости в сторонних библиотеках - одна из самых частых причин инцидентов в корпоративных приложениях. Регулярный аудит используемых компонентов и своевременное обновление всех уровней стека снижают такой риск.
Теперь несколько слов о том, как интерпретировать эту информацию. Первая уязвимость (CVE-2026-27448) с баллом 5,3 не столь опасна сама по себе, но её эксплуатация может усилить эффект других атак. Например, если в системе уже есть средство обхода аутентификации, небезопасный отказ в callback позволит незаметно подключиться к серверу. Вторая же уязвимость (CVE-2026-27459) - настоящая бомба. Её высокий балл и простота эксплуатации делают её приоритетной целью для злоумышленников. Автоматизированные сканеры уязвимостей быстро подберут нужный вектор.
Специалистам по безопасности стоит также обратить внимание на то, что IBM не предоставила временных мер обхода. Это значит, что единственный способ защититься - установить патч. Компания рекомендует подписаться на уведомления о будущих бюллетенях, чтобы не пропустить подобные предупреждения.
В итоге: инцидент напоминает о фундаментальном правиле - доверять, но проверять. Даже надёжные вендоры, такие как IBM, время от времени выпускают продукты с уязвимостями в сторонних компонентах. Регулярное обновление, встроенные процедуры управления уязвимостями и быстрая реакция на бюллетени безопасности - единственный способ удержать противника на расстоянии.
