خانه » CVE-2025-36007
هشدار‌های سایبری

CVE-2025-36007

IBM QRadar SIEM Incorrect Privilege Assignment

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 3 بازدید
هشدار سایبری CVE-2025-36007
  • شناسه CVE-2025-36007 :CVE
  • CWE-266 :CWE
  • yes :Advisory
  • منتشر شده: اکتبر 27, 2025
  • به روز شده: اکتبر 27, 2025
  • امتیاز: 7.8
  • نوع حمله: Authorization Bypass
  • اثر گذاری: Privilege Escalation
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: IBM
  • محصول: QRadar SIEM
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری در IBM QRadar SIEM نسخه های 7.5 تا 7.5.0 UP13 IF02 ناشی از تخصیص نادرست سطح دسترسی ها به یکی از اسکریپت های به روزرسانی است. این ضعف به مهاجمی با دسترسی اولیه اجازه می دهد سطح دسترسی خود را افزایش داده و در نتیجه به داده‌های حساس دست یابد، تنظیمات سیستم را تغییر دهد یا موجب اختلال در عملکرد SIEM شود.

توضیحات

آسیب‌پذیری CVE-2025-36007 در IBM QRadar SIEM ناشی از تخصیص نادرست سطح دسترسی مطابق با CWE-266 به یک اسکریپت به روزرسانی در فریم ورک اپلیکیشن است که به کاربر با دسترسی محدود اجازه می‌دهد به طور غیرمجاز به سطح دسترسی بالاتر دست یابد. این اسکریپت که بخشی از فرآیند به روزرسانی اپلیکیشن‌ها در QRadar است، به گونه‌ای پیکربندی شده که دسترسی های root یا administrative را بدون اعتبارسنجی مناسب دریافت می‌کند. در نتیجه مهاجم با دستکاری آن می‌تواند دسترسی کامل به فایل‌های سیستم، پایگاه داده‌های لاگ و تنظیمات امنیتی SIEM را به دست آورد.

بهره‌برداری از این ضعف به صورت لوکال امکان پذیر بوده و به‌سادگی قابل خودکارسازی است؛ مهاجم تنها به توانایی اجرای کد لوکال نیاز دارد (داشتن یک حساب کاربری سطح پایین مانند کاربر استاندارد QRadar کافی است) و می‌تواند بدون تعامل بیشتر با کاربر، اسکریپت به‌روزرسانی را اجرا کرده یا تغییر دهد تا به سطح دسترسی بالا تر مانند root دست یابد. پیامدهای این ضعف شامل محرمانگی با افشای اطلاعات حساس مانند لاگ‌های امنیتی و داده‌های کاربر، یکپارچگی سیستم مانند حذف یا تغییر قوانین و تنظیمات تشخیص تهدید و در دسترس‌پذیری مانند غیرفعال کردن سرویس‌های مانیتورینگ است. شرکت IBM این آسیب‌پذیری را در نسخه QRadar 7.5.0 Update Pack 14 پچ کرده است. در این به‌روزرسانی، تخصیص سطح دسترسی‌ها محدودتر و فرآیند اعتبارسنجی دسترسی‌ها تقویت شده است.

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected from 7.5.0 through 7.5.0 UP13 IF02 QRadar SIEM

لیست محصولات بروز شده

Versions Product
7.5.0 Update Pack 14 QRadar SIEM

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که IBM QRadar SIEM را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
345 site:.ir “IBM QRadar SIEM” IBM QRadar SIEM

نتیجه گیری

این آسیب‌پذیری با شدت بالا در IBM QRadar SIEM، از طریق ضعف در تخصیص سطح دسترسی به اسکریپت‌های به روزرسانی امکان افزایش سطح دسترسی لوکال را فراهم می کند و می‌تواند در محیط‌های SIEM با دسترسی‌های اشتراکی، منجر به نفوذ کامل به سیستم و اختلال در عملیات امنیتی شود. با توجه به انتشار پچ امنیتی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

  • به‌روزرسانی فوری: QRadar SIEM را به نسخه 5.0 Update Pack 14 به روزرسانی کنید. این به روزرسانی در پورتال پشتیبانی IBM در دسترس است و ضعف در تخصیص سطح دسترسی را به طور کامل رفع می‌کند.
  • مدیریت سطح دسترسی: از اصل حداقل دسترسی پیروی کنید و اسکریپت‌های به روزرسانی را با ابزارهایی مانند sudoers یا AppArmor محدود سازید تا از اجرای آن بدون رمز عبور جلوگیری شود.
  • نظارت و لاگ‌گیری: لاگ‌های سیستم را برای شناسایی دسترسی‌های مشکوک به اسکریپت‌های فریم ورک اپلیکیشن (مانند /opt/qradar/support/) با ابزارهای SIEM داخلی یا ELK Stack مانیتور کنید و هشدارهای بلادرنگ برای سطح دسترسی تنظیم نمایید.
  • ایزوله‌سازی: QRadar را در محیط‌های مجازی‌سازی‌شده مانند VMware یا Docker ایزوله کنید و دسترسی کاربران را با کنترل دسترسی مبتنی بر نقش(RBAC) مدیریت نمایید.
  • تست امنیتی: با ابزارهایی نظیر Lynis یا OpenVAS اسکن دسترسی ها را انجام دهید و تست‌های نفوذ لوکال برای سناریوهای افزایش سطح دسترسی اجرا کنید.
  • آموزش: تیم‌های عملیات امنیتی را در مورد ریسک‌های تخصیص نادرست سطح دسترسی در SIEM و لزوم بررسی منظم اسکریپت‌ها آگاه سازید.

اجرای این اقدامات، به ویژه به‌روزرسانی سریع و تقویت مدیریت سطح دسترسی، امنیت QRadar SIEM را به طور قابل توجهی افزایش می‌دهد و از حملات داخلی یا نفوذ اولیه جلوگیری می کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
در این مورد بردار اولیه محلی و مبتنی بر حساب کاربری معتبر (Valid Account) است — کاربر با امتیازات پایین در سامانه QRadar که امکان اجرای دستورات محلی یا فراخوانی اسکریپت‌های آپدیت را دارد می‌تواند از طریق اجرای یا دستکاری اسکریپتِ به‌روزرسانی، ورود به مسیر ارتقای سطح دسترسی را فراهم کند

Execution (TA0002)
ضعفِ اصلی تخصیص نادرست امتیازات به یک اسکریپت به‌روزرسانی است؛ نتیجه این است که کاربر سطح پایین می‌تواند آن اسکریپت را اجرا یا دستکاری کند و عملیات با امتیازات بالاتر مثلاً root/administrative انجام شود — یعنی اجرای محلیِ کدی با امتیازات بالاتر اتفاق می‌افتد.

Privilege Escalation (TA0004)
مهاجم محلی با توانایی اجرای یا تغییر اسکریپتِ آپدیت می‌تواند سطح دسترسی خود را از یک حساب کم‌امتیاز به امتیازات مدیریتی یا root ارتقا دهد

Persistence (TA0003)
پس از ارتقای سطح دسترسی، مهاجم می‌تواند مکانیزم‌های ماندگاری بگذارد تا دسترسی حفظ شود.

Defense Evasion (TA0005)
مهاجمِ ارتقا یافته ممکن است لاگ‌ها را پاک یا تغییر دهد، rules/alerts SIEM را غیرفعال کند یا مسیرهای اجرای آپدیت را طوری تغییر دهد که auditها را دور بزند.

Discovery (TA0007)

مهاجم پس از دسترسی بالا شبکه، سرویس‌ها، لاگ‌ها و کانفیگ‌ها را برای گسترش نفوذ و شناسایی اهداف بعدی اسکن می‌کند.

Lateral Movement (TA0008)
QRadar در مرکز شبکه قرار دارد؛ مهاجم می‌تواند با استفاده از credentialهای به‌دست‌آمده یا سرویس‌های معتبر به دیگر میزبان‌ها دسترسی یابد.

Impact (TA0040)
اثرات گزارش‌شده و تأییدشده شامل Confidentiality, Integrity و Availability است: مهاجم ارتقا یافته می‌تواند لاگ‌های حساس را افشا یا پاک کند (C:H) ، قوانین و تنظیمات SIEM را تغییر دهد (I:H) و عملکرد مانیتورینگ را مختل یا غیرفعال کند (A:H) ؛ لذا اجرای پچ، بازبینی کامل لاگ‌های تغییرات و راه‌اندازی فرایندهای forensic-ready ضروری است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-36007
  2. https://www.cvedetails.com/cve/CVE-2025-36007/
  3. https://www.ibm.com/support/pages/node/7249277
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-36007
  5. https://vuldb.com/?id.330171
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-36007
  7. https://cwe.mitre.org/data/definitions/266.html

همچنین ممکن است دوست داشته باشید

CVE-2025-41244

CVE-2025-37729

CVE-2025-36890

CVE-2025-36128

CVE-2025-39923

CVE-2025-3520

CVE-2025-3538

CVE-2025-3580

CVE-2025-3599

CVE-2025-3509

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×