В системе безопасности IBM QRadar SIEM обнаружена уязвимость, связанная с некорректным назначением разрешений для критических ресурсов. Проблема, получившая идентификатор CVE-2025-0164, позволяет локальным привилегированным пользователям вносить несанкционированные изменения в конфигурационные файлы, что потенциально ставит под угрозу целостность всей среды мониторинга безопасности. Компания IBM уже выпустила временное исправление, и администраторам настоятельно рекомендуется незамедлительно его установить для обеспечения безопасной работы.
Детали уязвимости
IBM QRadar SIEM является одним из ведущих решений в области управления информацией и событиями безопасности, используемым организациями по всему миру для сбора, анализа и хранения данных о безопасности. В версии 7.5.0 Update 13 Interim Fix 01 была выявлена ошибка, из-за которой локальные пользователи с повышенными привилегиями могли получить доступ к чувствительным конфигурационным файлам и изменить их. Это открывает возможность для злоумышленников манипулировать параметрами ведения журналов, отключать отдельные правила обнаружения угроз или внедрять вредоносные параметры, позволяющие обходить стандартные механизмы защиты.
Хотя уязвимость не допускает прямого удалённого использования, она значительно повышает риски в случае компрометации учётной записи с привилегированным доступом через другие методы. CVE-2025-0164 имеет базовый балл CVSS 2.3, что указывает на относительно низкий общий уровень угрозы, но подчеркивает возможность непреднамеренного ослабления безопасности самими администраторами. Поскольку для эксплуатации уязвимости требуется наличие учётной записи с высокими привилегиями в системе, она не расширяет поверхность атаки для удалённых злоумышленников.
Тем не менее, если злоумышленник получит локальный привилегированный доступ посредством кражи учётных данных или повышения прав, он может воспользоваться этой ошибкой для отключения или изменения критически важных функций обнаружения. Основную опасность представляет возможность изменения конфигурационных файлов, которые определяют сбор событий и применение правил. Это может привести к тому, что QRadar перестанет фиксировать определённые типы подозрительной активности или перенаправит журналы для сокрытия следов атаки.
Компания IBM устранила проблему, выпустив временный пакет исправлений для QRadar SIEM версии 7.5.0. Администраторам следует обновить систему до версии Update 13 Interim Fix 02, чтобы исправить настройки разрешений файлов. Альтернативные методы устранения рисков или обходные пути отсутствуют, поэтому применение официального исправления является обязательным шагом. Также важно подключиться к рассылке уведомлений о безопасности от IBM, чтобы оперативно получать информацию о будущих обновлениях и рекомендациях.
Регулярный аудит систем и мониторинг целостности файлов могут помочь в своевременном обнаружении несанкционированных изменений в конфигурациях. Обеспечение того, что только доверенные администраторы имеют привилегированные учётные записи, а также частая смена паролей позволяют дополнительно снизить вероятность misuse. Сохранение стратегии глубокой эшелонированной защиты остаётся критически важным элементом безопасности. Несмотря на то, что решения класса SIEM являются центральным компонентом мониторинга, они должны дополняться защитой конечных точек, сегментацией сети и строгим контролем доступа.
Последовательное управление обновлениями в сочетании с регулярными тренировками по реагированию на инциденты позволяет повысить устойчивость систем как к уязвимостям в конфигурациях, так и к более сложным целевым атакам.
