IBM QRadar SIEM の複数の脆弱性が FIX:任意のコマンド実行の可能性

IBM QRadar SIEM Vulnerabilities Allows Attackers to Execute Arbitrary Commands

2025/06/20 CyberSecurityNews — IBM QRadar SIEM に存在する、複数の深刻な脆弱性を悪用する攻撃者は、任意のコマンド実行や、機密データへのアクセスを可能にするという。その中でも、最も深刻な脆弱性 CVE-2025-33117 (CVSS 3.1:9.1) は、悪意のファイルのアップロードする、権限を持つユーザーに対して、影響を受けるシステム上で任意のコマンド実行を許すものである。この脆弱性の影響が及ぶ範囲は、IBM QRadar SIEM バージョン 7.5~7.5.0 UP12 IF01 となる。これらを運用する組織に対して強く推奨されるのは、最新のパッチ 7.5.0 UP12 IF02 への速やかな更新により、潜在的なセキュリティ侵害を防ぐことである。

CVE-2025-33117:
ファイル名やパス名の外部制御による任意のコマンド実行

CVE-2025-33117 は、CWE-73 (ファイル名やパス名の外部制御)に分類される。権限を持つユーザーに対してコンフィグ・ファイルの改変を許すため、悪意の自動更新ファイルのアップロードが可能になる。この脆弱性は、企業のセキュリティ・インフラに対して、即時的かつ深刻な脅威をもたらす。

この脆弱性の CVSS ベクター (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H) は、ネットワーク経由での攻撃が可能であり、攻撃の複雑性が低いことを示している。また、高い権限を必要とする一方で、ユーザーの操作は不要である。さらにスコープ変更 (S:C) により、脆弱なコンポーネント以外のリソースにも影響を及ぼす可能性がある。そのため、重要なセキュリティ・データを QRadar で管理しているエンタープライズ環境においては、特に深刻なリスクとなる。

この脆弱性を悪用する、権限昇格済みの攻撃者が、QRadar SIEM 環境全体への侵害が可能であることを、セキュリティ研究者たちが実証している。

その他の脆弱性

CVE-2025-33121 XML 外部エンティティ (XXE) に関する脆弱性であり、CWE-611 (XML 外部エンティティ参照の不適切な制限) に分類される。 CVSS スコアは 7.1 (High) と評価されており、認証済みのユーザーであれば、悪意 XML を通じて機密情報の漏洩やリソース消費を引き起こせる。

CVE-2025-36050:ログ・ファイルに不適切に保存される機密情報の問題であり、CWE-532 (ログ・ファイルへの機密情報の挿入) に分類される。 CVSS スコアは 6.2 (Medium) と評価されており、未認証のローカル・ユーザーによる、機密情報への不正アクセスのリスクが生じる。

この脆弱性の CVSS ベクター (CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) は、ローカル環境からの低い難易度での悪用が可能であり、認証やユーザー操作を必要とせず、機密性への影響が高いことを示している。

これらの脆弱性は、IBM’s Security Ethical Hacking Team (研究者:John Zuccato/Rodney Ryan/Chris Shepherd/Vince Dragnea/Ben Goodspeed/Dawid Bak) により発見された。

CVEsAffected ProductsImpactExploit PrerequisitesCVSS 3.1 Score
CVE-2025-33117IBM QRadar SIEM 7.5 – 7.5.0 UP12 IF01Arbitrary command executionPrivileged user access (admin-level)9.1 (Critical)
CVE-2025-33121IBM QRadar SIEM 7.5 – 7.5.0 UP12 IF01Sensitive data exposureAuthenticated user access7.1
(High)
CVE-2025-36050IBM QRadar SIEM 7.5 – 7.5.0 UP12 IF01Unauthorized access to sensitive informationLocal system access (no authentication)6.2 (Medium)
脆弱性への対応状況

すでに IBM は、QRadar 7.5.0 UP12 IF02 をリリースし、上記の脆弱性を修正している。特に、脆弱性 CVE-2025-33117 は深刻なものである。したがって、ユーザーに対して強く推奨されるのは、この修正バージョンへの早急なアップグレードである。

なお、IBM のセキュリティ情報には、回避策/緩和策の記載がないため、パッチ適用が唯一の有効な防御策となる。

IBM QRadar SIEM における、一連の脆弱性が FIX しました。 最も深刻な CVE-2025-33117 を悪用する攻撃者は、悪意のファイルアップ・ロードを介して、任意コマンドを実行とされています。SIEM のように、高い信頼性が求められる環境にとっては致命的なものと思えます。ご利用のチームは、ご注意ください。よろしければ、IBM で検索も、ご利用ください。