.png)
há 1 mês
11
Uma falha de configuração de permissões no IBM QRadar Security Information and Event Management (SIEM) pode permitir que usuários locais privilegiados modifiquem arquivos de configuração sem autorização. A vulnerabilidade foi catalogada como CVE-2025-0164 e tem pontuação CVSS 3.1 de 2,3 (baixa).
Leia também
Editor do Cursor AI tem falha de RCE
Site do TJPR derrubado com ataque, diz hacker “Azael”
O problema decorre de atribuição incorreta de permissões para recursos críticos (CWE-732) em versões 7.5 até 7.5.0 UP13 IF01 do QRadar SIEM. Usuários locais com privilégios elevados, como administradores ou engenheiros de suporte, podem explorar a falha para alterar parâmetros de configuração, modificar políticas de log ou desativar regras de detecção, potencialmente automatizando ações maliciosas via comandos shell.
Essas alterações não autorizadas podem persistir até serem corrigidas manualmente, prejudicando investigações e mascarando atividades suspeitas nos logs de auditoria. Não há soluções alternativas quando usuários privilegiados possuem acesso a nível de shell.
Para corrigir a vulnerabilidade, a IBM lançou o QRadar 7.5.0 UP13 IF02, que ajusta permissões de arquivos e diretórios, permitindo gravação apenas pela conta do serviço QRadar. É recomendado aplicar o patch imediatamente via IBM Fix Central (ID do fix: 7.5.0-QRADAR-QRSIEM-20250904123850INT). Adicionalmente, é fundamental restringir privilégios administrativos locais a pessoal confiável e monitorar alterações no diretório /opt/qradar/conf.
Manter controles de acesso rigorosos e aplicar patches de forma ágil é essencial para preservar a integridade das infraestruturas de monitoramento de segurança.
English (US) · 
Portuguese (BR) ·