IBM vừa chính thức phát hành bản cập nhật an ninh khẩn cấp cho nền tảng QRadar SIEM, khắc phục 4 lỗ hổng bảo mật cho phép tấn công XSS và rò rỉ thông tin nhạy cảm. Đáng chú ý, các lỗ hổng này hiện không có biện pháp khắc phục tạm thời (workaround), cần được cập nhật để bảo vệ hạ tầng giám sát.
Tổng quan và bối cảnh rủi ro
IBM QRadar SIEM đóng vai trò then chốt trong các Trung tâm Điều hành Bảo mật (SOC) doanh nghiệp, nơi tập trung toàn bộ log và phân tích hành vi bất thường. Việc tồn tại lỗ hổng trên nền tảng này cực kỳ nguy hiểm vì kẻ tấn công có thể chiếm quyền kiểm soát SIEM để đọc dữ liệu bảo mật hoặc xóa/chỉnh sửa cảnh báo, tạo ra điểm mù nhằm che giấu hành vi xâm nhập.
Ngày 18/03/2026, IBM công bố bốn lỗ hổng mới ảnh hưởng đến QRadar SIEM 7.5.0 (từ bản gốc đến UP14 IF05). Các lỗi này bao gồm hai lỗi Cross-Site Scripting (XSS) và hai lỗi rò rỉ thông tin (Information Disclosure).
Phân tích chi tiết kỹ thuật các CVE
| CVE ID | Loại lỗ hổng | CVSS | Vector tấn công | CWE |
| CVE-2025-13995 | Rò rỉ hostname giữa các tenant | 5.0 | Mạng / Xác thực thấp | CWE-286 |
| CVE-2025-36051 | Lộ thông tin nhạy cảm trong file cấu hình | 6.2 | Nội bộ / Không cần xác thực | CWE-538 |
| CVE-2025-15051 | Cross-Site Scripting (XSS) trên Web UI | 5.4 | Mạng / Xác thực thấp | CWE-79 |
| CVE-2026-1276 | XSS dẫn đến lộ thông tin xác thực | 5.4 | Mạng / Xác thực | CWE-79 |
1. Rò rỉ Hostname giữa các Tenant (CVE-2025-13995)
Lỗ hổng xảy ra trong cơ chế quản lý multi-tenant. Một người dùng thuộc Tenant A có thể thực hiện yêu cầu trái phép để đọc hostname của Tenant B. Trong môi trường MSSP, điều này cho phép kẻ tấn công dựng sơ đồ mạng của khách hàng khác và xác định các mục tiêu giá trị cao dựa trên tên định danh (ví dụ: sql-prod, payroll-server).
2. Lộ thông tin nhạy cảm mức đặc quyền thấp (CVE-2025-36051)
Đây là lỗi có điểm CVSS cao nhất (6.2) và cực kỳ nguy hiểm vì không yêu cầu xác thực đặc quyền. Bất kỳ người dùng nào có quyền truy cập shell đều có thể đọc các file cấu hình chứa thông tin nhạy cảm như:
- API key/token tích hợp nguồn log và threat intelligence.
- Credentials kết nối cơ sở dữ liệu và LDAP/Active Directory.
- Thông tin cấu hình SMTP và hệ thống ticketing (ServiceNow, Jira).
3. Tấn công XSS chiếm quyền phiên làm việc (CVE-2025-15051 & CVE-2026-1276)
Hai lỗ hổng XSS cho phép nhúng mã JavaScript độc hại vào giao diện quản trị. Khi một Analyst SOC có quyền cao hơn truy cập vào trang bị nhiễm, mã độc sẽ thực thi dưới ngữ cảnh của nạn nhân để đánh cắp session token hoặc cookie. Đặc biệt, CVE-2026-1276 cho phép chiếm đoạt thông tin xác thực (username/password) ngay trong phiên làm việc tin tưởng, giúp kẻ tấn công có thể đăng nhập lại bất cứ lúc nào ngay cả khi phiên cũ đã kết thúc.
Nhận định từ chuyên gia: Tác động thực tế đối với SOC
Mặc dù điểm CVSS ở mức Medium (5.0 – 6.2), nhưng rủi ro thực tế đối với hệ thống trung tâm như SIEM là rất lớn:
- Chiếm quyền hệ thống: Chuỗi tấn công kết hợp giữa đánh cắp session (XSS) và đọc file cấu hình có thể giúp kẻ tấn công kiểm soát hoàn toàn QRadar.
- Mù giám sát: Hậu quả nghiêm trọng nhất là kẻ tấn công xóa dấu vết xâm nhập, tạo khoảng trống giám sát trong toàn bộ hạ tầng tổ chức.
- Rủi ro pháp lý: Đối với các MSSP, việc rò rỉ dữ liệu chéo giữa các khách hàng có thể vi phạm nghiêm trọng các quy định như GDPR hay NIS2.
Khuyến nghị từ các chuyên gia bảo mật của VNCS Global
Theo xác nhận từ IBM, hiện không có bất kỳ biện pháp giảm thiểu tạm thời (workaround) nào cho chuỗi lỗ hổng này. Để tránh nguy cơ hạ tầng giám sát bị vô hiệu hóa, các tổ chức vận hành SOC cần hành động ngay lập tức theo 3 nhóm ưu tiên sau:
- Khoanh vùng rủi ro và Nâng cấp hệ thống
- Tiến hành rà soát các máy chủ QRadar SIEM (cả Production, Staging và Lab). Mọi hệ thống chạy bản từ 7.5.0 đến 7.5.0 UP14 IF05 đều có nguy cơ bị khai thác trực tiếp.
- Tiếp đó là nâng cấp lên phiên bản 7.5.0 UP15 qua IBM Fix Central. Lưu ý: Đội ngũ vận hành cần đọc kỹ Release Notes / Documents để tránh lỗi tương thích hoặc làm đứt gãy luồng log từ các Integration hiện tại khi đưa lên môi trường thật.
- Kiểm tra log và rà soát dấu hiệu xâm nhập
- Quét log truy cập Web UI để tìm các HTTP Request chứa payload bất thường (như <script>, javascript:…). Đồng thời, rà soát Audit Trail của các tài khoản quản trị SOC trong 30-90 ngày qua và kiểm tra chéo các IP đăng nhập lạ để xem có dấu hiệu bị cướp session hay không.
- Đối với các MSSP (Multi-tenant) thì cần phải audit ngay log truy vấn để tìm hành vi truy cập chéo trái phép giữa các tenant (CVE-2025-13995). Nếu phát hiện rò rỉ, cần kích hoạt ngay quy trình Incident Response và thông báo cho khách hàng theo cam kết SLA.
- Siết quyền Shell và thay mới (rotate) toàn bộ Credentials
- Rà soát lại và thu hồi ngay các quyền truy cập Shell không cần thiết vào máy chủ QRadar theo đúng nguyên tắc Least Privilege. Đây là cách trực tiếp để chặn nguy cơ đọc trộm file cấu hình (CVE-2025-36051).
- Đổi mới toàn bộ API key, token (Threat Intel, ServiceNow, Jira…), mật khẩu DB và LDAP/AD đang lưu trên hệ thống. Đây là bước bắt buộc đề phòng trường hợp thông tin đã bị âm thầm đánh cắp trước khi hệ thống kịp vá lỗi.
Nguồn: Threat Intelligence VNCS Global
