Các phiên bản IBM Security QRadar SIEM từ 7.5 đến 7.5.0 Update Package 12 đã được xác định chứa nhiều lỗ hổng bảo mật nghiêm trọng. Những lỗ hổng này có thể dẫn đến việc truy cập trái phép vào thông tin nhạy cảm và thực thi lệnh tùy ý (arbitrary command execution), gây rủi ro đáng kể cho tính bảo mật và toàn vẹn của hệ thống.
Hệ thống SIEM (Security Information and Event Management) như IBM QRadar đóng vai trò cốt lõi trong việc giám sát, phân tích và phản ứng với các mối đe dọa an ninh mạng. Do đó, bất kỳ lỗ hổng nào trong các hệ thống này đều có thể có tác động lan rộng, tạo điều kiện cho kẻ tấn công xâm nhập sâu hơn vào mạng lưới hoặc trích xuất dữ liệu nhạy cảm mà không bị phát hiện.
Phân tích Chi tiết các Lỗ hổng (CVE Details)
Ba lỗ hổng chính đã được công bố, mỗi lỗ hổng có mức độ nghiêm trọng và tác động khác nhau, được đánh giá bằng điểm CVSS v3.1:
- CVE-2025-36050: Lỗ hổng liên quan đến việc lưu trữ thông tin nhạy cảm trong các tệp nhật ký (log files) mà một người dùng cục bộ có quyền truy cập.
- CVE-2025-33121: Lỗ hổng XML External Entity (XXE) Injection khi xử lý dữ liệu XML, có thể bị khai thác từ xa để lộ thông tin nhạy cảm hoặc tiêu thụ tài nguyên bộ nhớ dẫn đến tấn công từ chối dịch vụ.
- CVE-2025-33117: Lỗ hổng cho phép người dùng có đặc quyền thay đổi các tệp cấu hình, cho phép tải lên tệp cập nhật tự động (autoupdate file) độc hại, dẫn đến thực thi lệnh tùy ý.
Phân tích Kỹ thuật Sâu hơn
CVE-2025-36050: Lộ thông tin nhạy cảm trong tệp nhật ký cục bộ
Lỗ hổng CVE-2025-36050 (CWE-532: Insertion of Sensitive Information into Log File) có điểm CVSS v3.1 là 6.2 (AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N). Lỗ hổng này phát sinh do IBM QRadar lưu trữ các thông tin có khả năng nhạy cảm trong các tệp nhật ký mà không có biện pháp bảo vệ đầy đủ. Điều này cho phép bất kỳ người dùng cục bộ nào trên hệ thống đều có thể đọc các thông tin bí mật từ những tệp nhật ký này. Thông tin nhạy cảm có thể bao gồm, nhưng không giới hạn ở, cấu hình hệ thống, thông tin xác thực, địa chỉ IP nội bộ, hoặc dữ liệu liên quan đến hoạt động mạng được giám sát. Mặc dù lỗ hổng yêu cầu quyền truy cập cục bộ (AV:L), khả năng truy cập thông tin cao (C:H) có thể cung cấp cho kẻ tấn công dữ liệu quan trọng để tiến hành trinh sát, lập kế hoạch tấn công tiếp theo, hoặc tìm kiếm các lỗ hổng khác để leo thang đặc quyền trên hệ thống.
CVE-2025-33121: Lỗ hổng XML External Entity (XXE) Injection
CVE-2025-33121 (CWE-611: Improper Restriction of XML External Entity Reference) được đánh giá với điểm CVSS v3.1 là 7.1 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L). Lỗ hổng XXE phát sinh trong quá trình xử lý dữ liệu XML trong QRadar SIEM. Một kẻ tấn công từ xa, với quyền truy cập mạng và đặc quyền thấp (PR:L), có thể khai thác các tham chiếu thực thể XML bên ngoài không được hạn chế đúng cách bởi logic ứng dụng. Cụ thể, khi ứng dụng phân tích cú pháp (parse) dữ liệu XML, nó có thể xử lý các tham chiếu đến các thực thể bên ngoài (ví dụ: tệp hệ thống cục bộ, tài nguyên mạng) được định nghĩa trong XML đầu vào. Điều này có thể dẫn đến việc tiết lộ thông tin nhạy cảm từ hệ thống tệp cục bộ (C:H) hoặc gây ra tấn công từ chối dịch vụ (DoS) thông qua việc tiêu thụ tài nguyên quá mức (A:L). Kẻ tấn công có thể tạo ra một tệp XML độc hại yêu cầu hệ thống đọc các tệp cụ thể trên máy chủ, hoặc thực hiện các cuộc tấn công “XML bomb” bằng cách lồng ghép các thực thể, khiến hệ thống tiêu tốn tài nguyên đến mức sập dịch vụ.
CVE-2025-33117: Thực thi lệnh tùy ý thông qua cơ chế cập nhật tự động
Lỗ hổng CVE-2025-33117 (CWE-73: External Control of File Name or Path) là lỗ hổng nghiêm trọng nhất, với điểm CVSS v3.1 là 9.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H). Lỗ hổng này cho phép một người dùng có đặc quyền (PR:H) thay đổi các tệp cấu hình kiểm soát cơ chế cập nhật tự động của QRadar. Sự thao túng này cho phép tải lên các gói cập nhật độc hại, được thiết kế để thực thi các lệnh tùy ý với đặc quyền cao trên hệ thống. Vì QRadar là một hệ thống SIEM quan trọng, khả năng thực thi lệnh tùy ý có thể dẫn đến việc kiểm soát hoàn toàn hệ thống, bao gồm truy cập dữ liệu nhạy cảm, thay đổi cấu hình, cài đặt phần mềm độc hại bổ sung, hoặc thậm chí là làm hỏng hệ thống (C:H, I:H, A:H). Lỗ hổng này đặc biệt nguy hiểm vì nó không chỉ đe dọa tính bảo mật của QRadar mà còn có thể ảnh hưởng đến toàn bộ môi trường được QRadar giám sát, vì kẻ tấn công có thể sử dụng hệ thống này làm bàn đạp để tấn công các hệ thống khác trong mạng.
Tiềm năng Khai thác (Exploitation Potential)
Trong số các lỗ hổng được đề cập, CVE-2025-33117 là vấn đề nghiêm trọng nhất do khả năng thực thi mã từ xa (Remote Code Execution – RCE) thông qua việc tải lên các bản cập nhật độc hại bởi người dùng có đặc quyền. Điều này tiềm ẩn nguy cơ dẫn đến sự xâm nhập toàn bộ hệ thống. Với điểm CVSS 9.1, lỗ hổng này đại diện cho một rủi ro cực kỳ cao, cho phép kẻ tấn công kiểm soát hoàn toàn máy chủ QRadar.
Lỗ hổng XXE (CVE-2025-33121) cho phép kẻ tấn công từ xa với một mức độ đặc quyền nhất định (thấp) và không yêu cầu tương tác với giao diện người dùng để khai thác. Nó có thể được sử dụng để tiết lộ thông tin nhạy cảm hoặc gây ra các cuộc tấn công từ chối dịch vụ từ xa qua mạng. Mặc dù không phải là RCE, việc tiết lộ thông tin có thể cung cấp dữ liệu quan trọng cho các cuộc tấn công phức tạp hơn, trong khi DoS có thể làm gián đoạn các hoạt động an ninh quan trọng.
Người dùng cục bộ có thể tận dụng các nhật ký bị lộ từ CVE-2025-36050 để trinh sát hoặc cố gắng leo thang đặc quyền. Mặc dù yêu cầu quyền truy cập cục bộ, lỗ hổng này có thể là một phần quan trọng trong chuỗi tấn công phức tạp, nơi kẻ tấn công đã giành được một mức độ truy cập ban đầu và đang tìm cách mở rộng quyền kiểm soát của mình.
Biện pháp Khắc phục (Mitigation)
IBM đã phát hành các bản cập nhật để khắc phục những lỗ hổng này như một phần của Update Package 12 cho phiên bản 7.5 đến 7.5.0. Việc áp dụng các bản vá này kịp thời là điều cần thiết để bảo mật các hệ thống bị ảnh hưởng. Các bản vá được cung cấp trực tiếp từ IBM, và quản trị viên hệ thống cần ưu tiên triển khai chúng ngay lập tức.
Việc không cập nhật kịp thời các hệ thống SIEM có thể tạo ra một điểm yếu nghiêm trọng trong hạ tầng bảo mật của tổ chức. Do bản chất quan trọng của QRadar trong việc phát hiện và phản ứng sự cố, bất kỳ sự chậm trễ nào trong việc vá lỗi đều có thể để lại cửa sau cho kẻ tấn công, gây ra hậu quả nghiêm trọng bao gồm mất dữ liệu, gián đoạn dịch vụ, hoặc vi phạm quy định.
Tham chiếu và IOCs
Không có băm tệp (file hashes), URL cụ thể nào ngoài các liên kết tư vấn của nhà cung cấp, ví dụ dòng lệnh (command-line examples), ID kỹ thuật MITRE ATT&CK, họ phần mềm độc hại, tên nhóm APT/tội phạm, chiến thuật SEO poisoning hoặc chi tiết hạ tầng nào được đề cập rõ ràng trong bài viết nguồn ngoài những gì đã được tóm tắt ở trên.
Các tài liệu tư vấn của nhà cung cấp:
https://www.ibm.com/support/pages/node/7237317
https://nvd.nist.gov/vuln/detail/CVE-2025-33117
https://nvd.nist.gov/vuln/detail/CVE-2025-36050
https://www.tenable.com/cve/CVE-2025-33121
https://github.com/advisories/GHSA-wv75-vg2r-pj6
Bản tóm tắt này bảo toàn tất cả các chi tiết kỹ thuật được nêu rõ về các lỗ hổng IBM QRadar SIEM được phát hiện tính đến ngày 19 tháng 6 năm 2025, phù hợp cho việc tiếp nhận bởi các trung tâm SOC (Security Operations Center) và các quy trình phản ứng sự cố mà không có bất kỳ suy đoán nào ngoài nội dung nguồn.
