Angreifer können IT-Sicherheitslösung IBM QRadar SIEM lahmlegen

Verschiedene Komponenten in IBMs IT-Sicherheitslösung QRadar SIEM sind verwundbar. Nutzen Angreifer die Schwachstellen erfolgreich aus, können sie unter anderem DoS-Zustände erzeugen, sodass Dienste abstürzen. Fällt dadurch der eigentlich durch die Anwendung versprochene Schutz weg, kann das fatale Folgen haben.

Auch wenn es bislang keine Berichte zu Attacken gibt, sollten Admins mit der Installation der Sicherheitsupdates nicht zu lange zögern. In einer Warnmeldung geben die Entwickler an, dass konkret die Versionen 7.5 bis einschließlich 7.5.0 UP13 IF01 angreifbar sind. Sie versichern, die Ausgabe QRadar 7.5.0 UP13 IF02 repariert zu haben.

Verschiedene Gefahren

Den Beschreibungen zufolge ist die Anwendung nicht direkt, sondern über Sicherheitslücken in Komponenten wie dem Linux-Kernel attackierbar. Die geschlossenen Sicherheitslücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. Angreifer können primär Speicherfehler erzeugen und so Instanzen abstürzen lassen (etwa CVE2025-49083). Im schlimmsten Fall kann aber auch Schadcode auf Systeme gelangen und diese kompromittieren. Wie solche Attacken im Detail ablaufen könnten, ist derzeit unklar.

Über den Linux-Kernel hinaus sind noch Komponenten wie CPython, Cryptography und Podman verwundbar. Weiterhin haben die Entwickler noch eine Softwareschwachstelle (CVE-2025-0164 „niedrig„) in QRadar SIEM direkt geschlossen, erläutern sie in einem Beitrag. Dafür muss ein Angreifer aber schon über bestimmte Rechte verfügen. Ist das gegeben, kann er die Konfiguration verändern.

Erst Ende August dieses Jahres haben die IBM-Entwickler QRadar SIEM gegen mögliche Attacken abgesichert. In diesem Fall konnten sich Angreifer höhere Nutzerrechte verschaffen.

(des)