Angreifer können an mehreren Sicherheitslücken in IBM QRadar SIEM ansetzen und im schlimmsten Fall Schadcode ausführen. Ein Sicherheitspatch schließt mehrere Lücken.

Attacken vorbeugen

Wie die Entwickler in einer Warnmeldung aufführen, sind die Ausgaben 7.5 bis einschließlich 7.5.0 UP12 IF01 verwundbar. Am gefährlichsten gilt eine "kritische" Lücke (CVE-2025-33117/kein EUVD) im Kontext der Auto-Update-Funktion. Hier können Angreifer mit nicht näher ausgeführten Nutzungsrechten mit einer präparierten Autoupdate-Datei ansetzen. Darüber können sie dann eigene Befehle ausführen und Systeme kompromittieren. Außerdem können in zwei Fällen (CVE-2025-36050, Risiko "mittel"; CVE-2025-33121, "hoch") Daten unbefugt zugänglich werden. Wie solche Angriffe im Detail ablaufen könnten, ist zurzeit nicht bekannt.

Aus einer zweiten Warnmeldung geht hervor, dass noch weitere Komponenten bedroht sind. So kann es etwa bei der Verarbeitung eines manipulierten XML-Dokuments zu Speicherfehlern und schließlich zu Abstürzen kommen (CV-2024-8176, "hoch"). Zusätzlich können Angreifer Opfern mit Schadcode versehene Dateien im eigentlich vertrauenswürdigen Kontext unterschieben (CVE-2024-12087, "mittel").

Update installieren

Gegen die geschilderten Attacken ist IBM QRadar 7.5.0 UP12 IF02 gerüstet. Bislang gibt es keine Hinweise auf Attacken. IBMs Entwickler führen derzeit nicht aus, woran Admins bereits erfolgreich attackierte Instanzen erkennen können. Admins sollten mit der Installation nicht zu lange zögern.

Zuletzt gab es wichtige Sicherheitsupdate für IBM /AIX/VIOS und DataPower Gateway. An diesen Stellen sind Schadcode-Attacken vorstellbar. Sicherheitsupdates stehen auch in diesem Fall zum Download bereit.