IBM QRadar Remote-Code-Ausführungsanfälligkeit (CVE-2020-4888) Erkennung

[post-views]
März 01, 2021 · 2 min zu lesen
IBM QRadar Remote-Code-Ausführungsanfälligkeit (CVE-2020-4888) Erkennung

Am 27. Januar 2021 veröffentlichte IBM einen offiziellen Patch für eine schwerwiegende Schwachstelle in der Remote-Code-Ausführung, die QRadar SIEM betrifft.

CVE-2020-4888 Beschreibung

Das Sicherheitsproblem tritt auf, weil die Java-Deserialisierungsfunktion eine vom Benutzer übergebene Eingabe nicht sicher deserialisiert. Dadurch können entfernte, technisch weniger versierte Hacker durch das Senden eines böswillig modifizierten, serialisierten Java-Objekts beliebige Befehle auf dem betroffenen System ausführen. 

Die Schwachstelle erhielt einen CVSSv3-Basiswert von 6,3, was sie zu einem Problem mittlerer Schwere macht. Dennoch hat der Fehler eine niedrige Angriffskomplexität, wodurch er zu einem bemerkenswerten Fehler wird, der sofort behoben werden muss. Da der Proof-of-Concept (PoC)-Exploit bereits öffentlich zugänglich gemacht wurde, erwarten Sicherheitsexperten baldige Versuche der Ausnutzung in freier Wildbahn.

CVE-2020-4888 Erkennung und Minderung

Laut IBM Sicherheitshinweis, betrifft die Schwachstelle IBM QRadar SIEM Versionen 7.4.0 bis 7.4.2 Patch 1 und IBM QRadar SIEM Versionen 7.3.0 bis 7.3.3 Patch 7. Benutzer werden dringend aufgefordert, die neueste Version von IBM QRadar SIEM so schnell wie möglich zu installieren, um sicher zu bleiben. 

Einer der aktivsten Entwickler im Threat Bounty, Osman Demir, hat bereits eine Sigma-Regel für die Community veröffentlicht, die in der Lage ist, Ausbeutungsversuche für CVE-2020-4888 zu erkennen. Laden Sie die Regel vom Threat Detection Marketplace herunter, um sich proaktiv gegen mögliche Cyberangriffe zu verteidigen:

https://tdm.socprime.com/tdm/info/oFg7JXQblNHt/Qhof03cBR-lx4sDx5gzv/#rule-context

Die Regel hat Übersetzungen für die folgenden Plattformen: 

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye Helix

EDR: Carbon Black, Sentinel One

MITRE ATT&CK:

Taktiken: Erste Zugriffsmöglichkeit

Techniken: Exploit einer öffentlicher-facing Anwendung (T1190)

Abonnieren Sie den Threat Detection Marketplace , um die mittlere Zeit der Erkennung von Cyberangriffen zu verkürzen, mit einer Bibliothek von über 96.000 SOC-Inhalten, die Regeln, Parser und Suchanfragen aggregiert, Sigma- und YARA-L-Regeln, die leicht in verschiedene Formate konvertierbar sind. Möchten Sie die Inhaltsbasis erweitern und Ihre eigenen Erkennungsinhalte erstellen? Treten Sie unserem Threat Bounty Program bei für eine sichere Zukunft!

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Blog, SOC Prime Plattform — 2 min zu lesen
Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Steven Edwards
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko