IBM ออกแพตช์แก้ไขช่องโหว่ใน IBM QRadar SIEM
Last updated: 18 Sept 2025
166 Views
สรุปข้อมูล
พบช่องโหว่ CVE-2025-0164 ใน IBM QRadar Security Information and Event Management (SIEM) ที่เปิดโอกาสให้แฮกเกอร์ที่เป็น Local Privileged Users สามารถเข้าถึงและแก้ไขข้อมูลในไฟล์ Configuration ได้โดยไม่ได้รับอนุญาต ซึ่ง ณ ปัจจุบันทาง IBM ได้ออกอัปเดตแพตช์แก้ไขช่องโหว่ข้างต้นเป็นที่เรียบร้อยแล้ว
รายละเอียดช่องโหว่
CVE-2025-0164 (คะแนน CVSS 2.3/10 ระดับความรุนแรง Low) เป็นช่องโหว่ประเภท Incorrect Permission Assignment for Critical Resource (CWE-732) ใน IBM QRadar SIEM ซึ่งช่องโหว่นี้เกิดจากปัญหาการให้สิทธิ์มากเกินไปในไฟล์และโฟลเดอร์ที่สำคัญที่ควรจะให้สิทธิ์ Write ได้เฉพาะ Service Account ของ QRadar เท่านั้น ทำให้ Local Privileged User สามารถแก้ไขไฟล์ Configuration ต่าง ๆ เปลี่ยน Logging Policy หรือแม้แต่ปิดการ Detection Rule ได้ได้ นอกจากนี้แฮกเกอร์อาจใช้ประโยชน์จากช่องโหว่นี้โดยการเขียน Script เพื่อรันคำสั่ง Shell ไปยัง Path ไฟล์ที่สำคัญเพื่อดำเนินการที่อันตรายเพิ่มเติมต่อไป
เวอร์ชันที่ได้รับผลกระทบ
- IBM QRadar SIEM 7.5 ถึง 7.5.0 UP13 IF01
เวอร์ชันที่ได้รับการแก้ไข
- IBM QRadar SIEM 7.5.0 UP13 IF02
ผลกระทบจากช่องโหว่
ช่องโหว่ CVE-2025-0164 ใน IBM QRadar SIEM อาจทำให้แฮกเกอร์ที่เป็น Local Privileged User สามารถแก้ไขไฟล์การ Config ปิดการ Detection Rule หรือปรับ Policy ของ Log ได้โดยถูกตรวจพบได้ยากขึ้น ส่งผลให้มาตรการความปลอดภัยต่าง ๆ มีประสิทธิภาพลดลง
คำแนะนำ
- อัปเดต IBM QRadar SIEM ให้เป็นเวอร์ชันที่ได้รับการแก้ไข
- ติดตามและปฏิบัติตามวิธีการแก้ไขปัญหาตามประกาศของ IBM
- จำกัดสิทธิ์ของ Local Admin เฉพาะผู้ที่จำเป็นจริง ๆ
- หมั่นตรวจสอบการเปลี่ยนแปลงของไฟล์ในไดเรกทอรี /opt/qradar/conf ซึ่งใช้สำหรับเก็บไฟล์ Config ของระบบ
- ใช้หลักการ Least Privilege ลดสิทธิ์และปิดบัญชีที่ไม่จำเป็น
- ใช้ Network Segmentation แยกออกจากเครือข่ายอื่นเพื่อลดความเสี่ยง
แหล่งอ้างอิง
https://cybersecuritynews.com/ibm-qradar-siem-vulnerability-unauthorized/
Related Content
