This post is also available in: Português
A CVE-2025-33117 é uma falha de segurança crítica identificada no pacote de atualização 12 do IBM QRadar SIEM versão 7.5 até a 7.5.0. Essa vulnerabilidade permite que um usuário com privilégios modifique arquivos de configuração do sistema para inserir um arquivo de atualização automática malicioso. Com isso, torna-se possível executar comandos arbitrários no ambiente afetado, comprometendo seriamente a integridade da plataforma.
O problema está relacionado a um controle inadequado sobre nomes ou caminhos de arquivos externos (CWE-73), o que abre margem para manipulações que não deveriam ser acessíveis nem mesmo por usuários administrativos. Em um cenário real, essa brecha pode ser explorada para obter controle total sobre a instância comprometida, facilitando movimentações laterais, persistência e escalonamento de privilégios.
Produtos afetados pela CVE-2025-33117
A falha está restrita ao QRadar SIEM 7.5, especificamente quando atualizado até o pacote de atualização 12. A IBM confirmou que versões anteriores ou posteriores ao patch 12 não são afetadas, desde que estejam atualizadas com as correções de segurança mais recentes.
O QRadar SIEM é uma solução amplamente adotada por empresas para análise e correlação de eventos de segurança, sendo um dos pilares da visibilidade e resposta a incidentes em ambientes corporativos. Qualquer falha que comprometa sua integridade tem potencial elevado de impacto, principalmente se for explorada de dentro da organização por usuários com acesso privilegiado.
Pontuação CVSS e impacto
A vulnerabilidade recebeu uma pontuação CVSS de 9.1 (crítica), indicando que o impacto potencial sobre a confidencialidade, integridade e disponibilidade do sistema é elevado. O vetor de ataque é local, exigindo que o invasor tenha privilégios elevados dentro do ambiente, o que não diminui sua gravidade, já que ambientes corporativos complexos frequentemente operam com múltiplos perfis privilegiados.
A falha foi categorizada segundo a CWE-73: External Control of File Name or Path. Isso significa que o sistema afetado permite que um ator externo interfira na construção ou escolha de nomes de arquivos e caminhos usados pelo sistema, o que pode levar à manipulação maliciosa de arquivos sensíveis.
Mitigação e recomendações
A IBM publicou uma correção para o problema, disponível em sua página oficial de suporte. A recomendação imediata é aplicar o patch de segurança fornecido pela empresa o quanto antes. Organizações que ainda não podem atualizar devem, no mínimo, aplicar controles rigorosos sobre os acessos privilegiados, monitorar atividades anômalas e restringir a capacidade de modificar arquivos de configuração.
Também é recomendado revisar rotinas de atualização automática, desativando-as caso não sejam estritamente necessárias, e implementar controles adicionais para validação de integridade de pacotes de atualização antes da aplicação.
This post is also available in: Português
