{"id":258269,"date":"2021-10-04T01:09:29","date_gmt":"2021-10-03T23:09:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258269"},"modified":"2023-04-29T10:42:19","modified_gmt":"2023-04-29T08:42:19","slug":"omigod-ibm-qradar-azure-ber-cve-2021-38647-angreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/10\/04\/omigod-ibm-qradar-azure-ber-cve-2021-38647-angreifbar\/","title":{"rendered":"OMIGOD: IBM QRadar Azure &uuml;ber CVE-2021-38647 angreifbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2019\/07\/Azure.jpg\" width=\"86\" height=\"50\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/10\/04\/omigod-ibm-qradar-azure-ber-cve-2021-38647-angreifbar\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsexperten warnen, dass IBMs QRadar Azure \u00fcber die OMIGOD-Schwachstelle CVE-2021-38647 angreifbar sei. Remote-Angreifer k\u00f6nnten willk\u00fcrlichen Code ausf\u00fchren. Das h\u00e4tte einen \u00e4hnlichen Impact wie der Lieferkettenangriff auf Kaseya VSA, eine Remote Management und Monitoring Software (RMM).<\/p>\n<p><!--more--><\/p>\n<h2>Was ist IBM QRadar Azure?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/931e8d5c1e3542d98aa7dcf32e09105a\" alt=\"\" width=\"1\" height=\"1\" \/>Der Microsoft Azure Platform DSM sammelt Ereignisse, die auf der Plattformebene auftreten, z. B. die Erstellung, \u00c4nderung oder L\u00f6schung von Ressourcen. IBM\u00ae QRadar\u00ae DSM (Desktop and Server Management) ist als SIEM-System auch <a href=\"https:\/\/web.archive.org\/web\/20220120063156\/https:\/\/www.ibm.com\/security\/security-intelligence\/qradar\/securing-the-cloud\" target=\"_blank\" rel=\"noopener\">f\u00fcr Microsoft Azure<\/a> erh\u00e4ltlich. IBM QRadar DSM f\u00fcr Microsoft Azure analysiert Ereignisse aus dem Microsoft Azure Activity Log.<\/p>\n<h2>\u00dcber OMIGOD-Schwachstelle CVE-2021-38647 angreifbar<\/h2>\n<p>Sicherheitsexperten warnen in nachfolgendem <a href=\"https:\/\/twitter.com\/Dinosn\/status\/1444714121962954754\" target=\"_blank\" rel=\"noopener\">Tweet<\/a>, dass das Open Management Infrastructure RPM-Paket in den IBM QRadar Azure Marketplace-Images von der Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-38647\" target=\"_blank\" rel=\"noopener\">CVE-2021-38647<\/a>\u00a0 betroffen ist.<\/p>\n<p><a href=\"https:\/\/twitter.com\/Dinosn\/status\/1444714121962954754\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"IBM QRadar Azure CVE-2021-38647 \" src=\"https:\/\/i.imgur.com\/MHzf517.png\" alt=\"IBM QRadar Azure CVE-2021-38647 \" \/><\/a><\/p>\n<p>Es handelt sich um eine mit dem CVE-Wert 9.8 eingestufte Remote-Code-Ausf\u00fchrungsschwachstelle, die auch Bestandteil der k\u00fcrzlich hier im Blog thematisierten Azure OMIGOD-Schwachstellen ist. Im Fall von IBM QRadar Azure kann ein Remote-Angreifer laut <a href=\"https:\/\/web.archive.org\/web\/20221127014827\/https:\/\/securityaffairs.co\/wordpress\/122869\/security\/cve-2021-38647-omigod-ibm-qradar-azure.html?utm_source=feedly&amp;utm_medium=rss&amp;utm_campaign=cve-2021-38647-omigod-ibm-qradar-azure\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> bzw. <a href=\"https:\/\/www.ibm.com\/support\/pages\/security-bulletin-ibm-qradar-azure-marketplace-images-include-open-management-infrastructure-rpm-which-vulnerable-remote-code-execution-cve-2021-38647\" target=\"_blank\" rel=\"noopener\">diesem IBM Security Bulletin<\/a> die Schwachstelle ausnutzen, um beliebigen Code auf anf\u00e4lligen Installationen auszuf\u00fchren.<\/p>\n<p>Die Schwachstelle kann durch das Ausf\u00fchren eines speziell gestalteten Programms auf anf\u00e4lligen Systemen ausgel\u00f6st werden und betrifft die folgenden Versionen:<\/p>\n<ul>\n<li>IBM QRadar Versionen 7.3.0 bis 7.3.3 Patch 9<\/li>\n<li>IBM QRadar Versionen 7.4.0 bis 7.4.3 Patch 2<\/li>\n<\/ul>\n<p>Ein nicht authentifizierter Angreifer kann die Sicherheitsl\u00fccke remote ausnutzen, indem er eine speziell gestaltete Nachricht \u00fcber HTTPS an den Port sendet, der auf einem anf\u00e4lligen System auf Open Management Infrastructure (OMI) lauscht. Bei den meisten Linux Distributionen zeigt der Befehl:<\/p>\n<p>netstat -an | grep &lt;Port-Nummer&gt;<\/p>\n<p>an, ob Prozesse auf &lt;Port-Nummer&gt; lauschen. Microsoft hat die Schwachstelle mit der Ver\u00f6ffentlichung der Sicherheitsupdates am Patch Tuesday im September 2021 behoben (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/09\/15\/microsoft-azure-schwachstelle-omigod-in-linux-vms-patchen\/\">Microsoft Azure-Schwachstelle OMIGOD in Linux VMs patchen<\/a>).<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/09\/15\/microsoft-azure-schwachstelle-omigod-in-linux-vms-patchen\/\">Microsoft Azure-Schwachstelle OMIGOD in Linux VMs patchen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/03\/revil-ransomware-befall-bei-200-firmen-ber-kaseya-vsa-und-management-service-provider-msp\/#comment-109804\">REvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/03\/coop-schweden-schliet-800-geschfte-nach-kaseya-vsa-lieferkettenangriff-durch-revil-gang\/\">Coop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/05\/neues-zum-kaseya-vsa-lieferkettenangriff-und-zum-coop-schweden-fall\/\">Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/06\/kaseya-hack-betrifft-1-500-firmen-auch-deutschland-betroffen\/\">Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/10\/nachbereitung-zum-kaseya-lieferkettenangriff\/\">Nachbereitung zum Kaseya-Lieferkettenangriff<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsexperten warnen, dass IBMs QRadar Azure \u00fcber die OMIGOD-Schwachstelle CVE-2021-38647 angreifbar sei. Remote-Angreifer k\u00f6nnten willk\u00fcrlichen Code ausf\u00fchren. Das h\u00e4tte einen \u00e4hnlichen Impact wie der Lieferkettenangriff auf Kaseya VSA, eine Remote Management und Monitoring Software (RMM).<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4375,4328],"class_list":["post-258269","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-azure","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258269","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258269"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258269\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258269"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258269"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258269"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}