Folgen 
Am 27. Januar 2021 veröffentlichte IBM einen offiziellen Patch für eine schwerwiegende Schwachstelle in der Remote-Code-Ausführung, die QRadar SIEM betrifft.
CVE-2020-4888 Beschreibung
Das Sicherheitsproblem tritt auf, weil die Java-Deserialisierungsfunktion eine vom Benutzer übergebene Eingabe nicht sicher deserialisiert. Dadurch können entfernte, technisch weniger versierte Hacker durch das Senden eines böswillig modifizierten, serialisierten Java-Objekts beliebige Befehle auf dem betroffenen System ausführen.
Die Schwachstelle erhielt einen CVSSv3-Basiswert von 6,3, was sie zu einem Problem mittlerer Schwere macht. Dennoch hat der Fehler eine niedrige Angriffskomplexität, wodurch er zu einem bemerkenswerten Fehler wird, der sofort behoben werden muss. Da der Proof-of-Concept (PoC)-Exploit bereits öffentlich zugänglich gemacht wurde, erwarten Sicherheitsexperten baldige Versuche der Ausnutzung in freier Wildbahn.
CVE-2020-4888 Erkennung und Minderung
Laut IBM Sicherheitshinweis, betrifft die Schwachstelle IBM QRadar SIEM Versionen 7.4.0 bis 7.4.2 Patch 1 und IBM QRadar SIEM Versionen 7.3.0 bis 7.3.3 Patch 7. Benutzer werden dringend aufgefordert, die neueste Version von IBM QRadar SIEM so schnell wie möglich zu installieren, um sicher zu bleiben.
Einer der aktivsten Entwickler im Threat Bounty, Osman Demir, hat bereits eine Sigma-Regel für die Community veröffentlicht, die in der Lage ist, Ausbeutungsversuche für CVE-2020-4888 zu erkennen. Laden Sie die Regel vom Threat Detection Marketplace herunter, um sich proaktiv gegen mögliche Cyberangriffe zu verteidigen:
https://tdm.socprime.com/tdm/info/oFg7JXQblNHt/Qhof03cBR-lx4sDx5gzv/#rule-context
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye Helix
EDR: Carbon Black, Sentinel One
MITRE ATT&CK:
Taktiken: Erste Zugriffsmöglichkeit
Techniken: Exploit einer öffentlicher-facing Anwendung (T1190)
Abonnieren Sie den Threat Detection Marketplace , um die mittlere Zeit der Erkennung von Cyberangriffen zu verkürzen, mit einer Bibliothek von über 96.000 SOC-Inhalten, die Regeln, Parser und Suchanfragen aggregiert, Sigma- und YARA-L-Regeln, die leicht in verschiedene Formate konvertierbar sind. Möchten Sie die Inhaltsbasis erweitern und Ihre eigenen Erkennungsinhalte erstellen? Treten Sie unserem Threat Bounty Program bei für eine sichere Zukunft!
