یکی از اجزای اساسی مرتبط با مرکز عملیات امنیت، وجود یک سامانه SIEM قدرتمند غیر بومی ایرانی به نام Qradar می باشد که به بررسی آسیب پذیری موجود در آن می پردازیم.
سامانه SIEM قدرتمند Qradar چیست؟
سامانه SIEM قدرتمند Qradar با جمع آوری، ذخیره و تحلیل و بررسی لاگ های سخت افزار، یک نظریه امنیتی از هر آنچه در زیرساخت IT رخ می دهد را ارائه می دهد. SIEM ها با مانیتورینگ آنی تهدیدات امنیتی می کوشد تا در به سرعت حملات، پاسخگویی به تهدیدات و ارائه گزارشات خود را تشخیص داده و امنیت زیرساخت های فناوری اطلاعات را بالا ببرد.
بررسی آسیب پذیری در سامانه SIEM شرکت IBM
کمپانی IBM هم از SIEM قدرتمند خود در این زمینه دارا می باشد که بر اساس گزارشات منتشر شده به وسیله کارتنر از جمله پیشگامان های این حوزه محسوب می شود.
پژوهشگران در SIEM مربوط به شرکت IBM تعداد زیادی آسیب پذیری از نوع اجرای کد از راه دور (RCE) کشف نموده اند که به حمله کنندگان این قابلیت را می دهد که مکانیزم های احراز هویت و اجرای کدهای آلوده (Command Execution) را دور بزنند.
این آسیب پذیری طبق اطلاعات منتشر شده توسط IBM روی سامانه SIEM این کمپانی بر روی ورژن های 7.3.0 تا 7.3.1 Patch 2 و 7.2.0 تا 7.2.8 Patch11 اثربخش می باشد.
آشنایی با ویژگی های محصول Qradar
محصول Qradar از یک ماژول جهت انجام عملیات Forensic بر روی فایلهای آلوده برخوردار است. این ماژول در ورژن مجانی ارائه شده غیرفعال بوده ولی هنوز کدهای آسیب پذیر در این محصول یپیدا می گردد. توسعه این ماژول با زبان های Java و PHP صورت می پذیرد که این آسیب پذیری بر روی هر دو بخش از این ماژول اثر خود را می گذارد و به حمله کنندگان اجازه می دهد تا مکانیزم های امنیتی مرتبط با احراز هویت و ذخیره یک فایل بر روی دیسک را دور بزنند. در ادامه فرایند هم با سوء استفاده از یک Cron Job سطح دسترسی خود را به root بالا می برد.
علاقمندان به حوزه فناوری اطلاعات می توانند برای مطالعه سایر مقالات و مطالب مرتبط با تکنولوژی های جدید در حوزه امنیت اطلاعات به کانال تلگرام مهندسی شبکه پال نت مراجعه نمایند.