Vulnerabilidad de Ejecución Remota de Código en IBM QRadar (CVE-2020-4888) Detección

El 27 de enero de 2021, IBM lanzó un parche oficial para una vulnerabilidad grave de ejecución remota de código que afecta a su QRadar SIEM.

Descripción de CVE-2020-4888

La brecha de seguridad ocurre porque la función de deserialización de Java no logra deserializar de manera segura una entrada suministrada por el usuario. Como resultado, los hackers remotos con pocos privilegios pueden ejecutar comandos arbitrarios en el sistema afectado enviando un objeto Java serializado modificado maliciosamente. 

La vulnerabilidad recibió una calificación base de CVSSv3 de 6.3, lo que la convierte en un problema de severidad media. Sin embargo, la falla tiene una baja complejidad de ataque, lo que la convierte en un error notable que requiere parcheo inmediato. Dado que el exploit de prueba de concepto (PoC) ya se ha hecho público, los expertos en seguridad esperan intentos de explotación en el campo pronto.

Detección y Mitigación de CVE-2020-4888

Según IBM aviso, la vulnerabilidad afecta a las versiones de IBM QRadar SIEM de 7.4.0 a 7.4.2 Patch 1 y de 7.3.0 a 7.3.3 Patch 7. Se insta a los usuarios a instalar la última versión de IBM QRadar SIEM lo antes posible para mantenerse seguros. 

Uno de los desarrolladores más activos de Threat Bounty, Osman Demir, ya ha lanzado una regla Sigma comunitaria capaz de detectar intentos de explotación para CVE-2020-4888. Descarga la regla de Threat Detection Marketplace para defenderse proactivamente de posibles ciberataques:

https://tdm.socprime.com/tdm/info/oFg7JXQblNHt/Qhof03cBR-lx4sDx5gzv/#rule-context

La regla tiene traducciones para las siguientes plataformas: 

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye Helix

EDR: Carbon Black, Sentinel One

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnicas: Explotar Aplicación Expuesta a Internet (T1190)

Suscribirse a Threat Detection Marketplace de forma gratuita y reduce el tiempo medio de detección de ciberataques con una biblioteca de contenido SOC de 96,000+ que agrega reglas, analizadores y consultas de búsqueda, reglas Sigma y YARA-L fácilmente convertibles a varios formatos. ¿Quieres enriquecer la base de contenido y crear tu propio contenido de detección? Únete a nuestro Programa Threat Bounty ¡para un futuro más seguro!