Una configuración errónea de permiso crítico en la plataforma IBM QRadar Security Information and Event Management (SIEM) podría permitir a los usuarios privilegiados locales manipular archivos de configuración sin autorización.
Rastreado como CVE-2025-0164, el defecto proviene de una asignación de permiso inadecuado y lleva una puntuación base CVSS 3.1 de 2.3 (AV: L/AC: L/PR: H/UI: N/S: U/C: L/I: N/A: N).
Control de llave
1. CVE-2025-0164 en Qradar SIEM V7.5–7.5.0 UP13 IF01 permite que los locales privilegiados alteren los archivos de configuración.
2. La vulnerabilidad proviene de CWE-732 (asignación de permiso incorrecto para recursos críticos).
3. Aplicar UP13 IF02, limitar el acceso de administrador y ver/optar/qRadar/conf.
Falla de tarea de permiso incorrecto
La vulnerabilidad surge de una asignación de permiso incorrecto para recursos críticos (CWE-732), que no puede hacer cumplir los controles de acceso apropiados en los directorios de configuración y los archivos dentro de las instalaciones de Qradar SIEM que ejecutan las versiones 7.5 a 7.5.0 UP13 IF01.
Un usuario local con privilegios de alto nivel existentes, como un administrador del sistema o un ingeniero de soporte, puede explotar los permisos del sistema de archivos defectuosos para alterar los parámetros de configuración clave, modificar las políticas de registro o deshabilitar las reglas de detección.
Los atacantes podrían escribir modificaciones automatizadas invocando comandos de shell contra rutas protegidas.
Estos cambios no autorizados pueden persistir hasta que se remedien mediante una intervención manual, y podrían frustrar los esfuerzos de respuesta a incidentes enmascarando la actividad maliciosa en los registros de auditoría o permitiendo nuevas acciones no autorizadas sin detección.
Factores de riesgo Los productos afectados por la colocación de la colocación de los productos QRADAR SIEM 7.5–7.5.0 UP13 IF01 ImPactUnAuthorized Modificaciones para configurar archivos, deshabilitar las reglas o alterar las políticas de registro EXPLOPROIT Requisitos previos Local de usuarios privilegiados AccessCVSS 3.1 Score2.3 (bajo)
Mitigaciones
Para remediar CVE-2025-0164IBM ha lanzado QRadar 7.5.0 UP13 IF02, que corrige los permisos de archivo y directorio para restringir el acceso de escritura exclusivamente a la cuenta de servicio QRadar.
Los administradores deben aplicar la solución provisional inmediatamente en los sistemas afectados descargando la actualización de IBM Fix Central.
La solución aplicable se puede recuperar utilizando Fix ID 7.5.0-Qradar-Qrsiem-20250904123850Int. No existe una solución para entornos donde los usuarios privilegiados tengan acceso a nivel de shell.
Como precaución, las organizaciones deben restringir los privilegios administrativos locales solo al personal de confianza y monitorear los cambios del sistema de archivos en/OPT/QRADAR/Conf.
Mantener controles de acceso sólidos y parches oportunos sigue siendo esencial para preservar la integridad de las infraestructuras de monitoreo de seguridad.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
