OMIGOD: IBM QRadar Azure über CVE-2021-38647 angreifbar

Publiziert am 4. Oktober 2021 von Günter Born

[English]Sicherheitsexperten warnen, dass IBMs QRadar Azure über die OMIGOD-Schwachstelle CVE-2021-38647 angreifbar sei. Remote-Angreifer könnten willkürlichen Code ausführen. Das hätte einen ähnlichen Impact wie der Lieferkettenangriff auf Kaseya VSA, eine Remote Management und Monitoring Software (RMM).

Anzeige

Was ist IBM QRadar Azure?

Der Microsoft Azure Platform DSM sammelt Ereignisse, die auf der Plattformebene auftreten, z. B. die Erstellung, Änderung oder Löschung von Ressourcen. IBM® QRadar® DSM (Desktop and Server Management) ist als SIEM-System auch für Microsoft Azure erhältlich. IBM QRadar DSM für Microsoft Azure analysiert Ereignisse aus dem Microsoft Azure Activity Log.

Über OMIGOD-Schwachstelle CVE-2021-38647 angreifbar

Sicherheitsexperten warnen in nachfolgendem Tweet, dass das Open Management Infrastructure RPM-Paket in den IBM QRadar Azure Marketplace-Images von der Schwachstelle CVE-2021-38647  betroffen ist.

IBM QRadar Azure CVE-2021-38647

Es handelt sich um eine mit dem CVE-Wert 9.8 eingestufte Remote-Code-Ausführungsschwachstelle, die auch Bestandteil der kürzlich hier im Blog thematisierten Azure OMIGOD-Schwachstellen ist. Im Fall von IBM QRadar Azure kann ein Remote-Angreifer laut diesem Artikel bzw. diesem IBM Security Bulletin die Schwachstelle ausnutzen, um beliebigen Code auf anfälligen Installationen auszuführen.

Anzeige

Die Schwachstelle kann durch das Ausführen eines speziell gestalteten Programms auf anfälligen Systemen ausgelöst werden und betrifft die folgenden Versionen:

  • IBM QRadar Versionen 7.3.0 bis 7.3.3 Patch 9
  • IBM QRadar Versionen 7.4.0 bis 7.4.3 Patch 2

Ein nicht authentifizierter Angreifer kann die Sicherheitslücke remote ausnutzen, indem er eine speziell gestaltete Nachricht über HTTPS an den Port sendet, der auf einem anfälligen System auf Open Management Infrastructure (OMI) lauscht. Bei den meisten Linux Distributionen zeigt der Befehl:

netstat -an | grep <Port-Nummer>

an, ob Prozesse auf <Port-Nummer> lauschen. Microsoft hat die Schwachstelle mit der Veröffentlichung der Sicherheitsupdates am Patch Tuesday im September 2021 behoben (siehe Microsoft Azure-Schwachstelle OMIGOD in Linux VMs patchen).

Ähnliche Artikel:
Microsoft Azure-Schwachstelle OMIGOD in Linux VMs patchen
REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall
Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland
Nachbereitung zum Kaseya-Lieferkettenangriff

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.