Связанная с подделкой запросов на стороне сервера (SSRF) уязвимость была исправлена в популярной системе для мониторинга и корреляции событий IBM QRadar SIEM. Проблема позволяла злоумышленникам отправлять запросы от имени системы, получать сведения о сетевой инфраструктуре и таким образом упрощала проведение других атак.
Ошибка получила идентификатор CVE-2020-4786 и набрала 5,4 балла по шкале оценки уязвимостей CVSS. Уязвимость затрагивала IBM QRadar SIEM версий от 7.4.2 GA до 7.4.2 Patch 1, от 7.4.0 до 7.4.1 Patch 1 и от 7.3.0 до 7.3.3 Patch 5.
Проблема была обнаружена экспертом компании Positive Technologies Михаилом Ключниковым. Он рассказывает, что при помощи этой уязвимости авторизованный злоумышленник мог отправлять запросы по некоторым протоколам от имени сервера как во внутреннюю сеть, так и во внешнюю.
«При отправке запросов во внутреннюю сеть злоумышленник может получить информацию о сетевых узлах и об их открытых портах, то есть больше узнать об этой сети. Кроме того, в некоторых случаях атакующий может эксплуатировать известные уязвимости в ПО, которое расположено во внутренней сети, что позволит ему развивать свою атаку», — объясняет эксперт.