Vulnerabilidad de Ejecución Remota de Código en IBM QRadar (CVE-2020-4888) Detección

Últimas Amenazas

marzo 01, 2021

2 min de lectura

Vulnerabilidad de Ejecución Remota de Código en IBM QRadar (CVE-2020-4888) Detección

Alla Yurchenko
Alla Yurchenko Líder del Programa de Recompensas por Amenazas linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabla de Contenidos

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

El 27 de enero de 2021, IBM lanzó un parche oficial para una vulnerabilidad grave de ejecución remota de código que afecta a su QRadar SIEM.

Descripción de CVE-2020-4888

La brecha de seguridad ocurre porque la función de deserialización de Java no logra deserializar de manera segura una entrada suministrada por el usuario. Como resultado, los hackers remotos con pocos privilegios pueden ejecutar comandos arbitrarios en el sistema afectado enviando un objeto Java serializado modificado maliciosamente. 

La vulnerabilidad recibió una calificación base de CVSSv3 de 6.3, lo que la convierte en un problema de severidad media. Sin embargo, la falla tiene una baja complejidad de ataque, lo que la convierte en un error notable que requiere parcheo inmediato. Dado que el exploit de prueba de concepto (PoC) ya se ha hecho público, los expertos en seguridad esperan intentos de explotación en el campo pronto.

Detección y Mitigación de CVE-2020-4888

Según IBM aviso, la vulnerabilidad afecta a las versiones de IBM QRadar SIEM de 7.4.0 a 7.4.2 Patch 1 y de 7.3.0 a 7.3.3 Patch 7. Se insta a los usuarios a instalar la última versión de IBM QRadar SIEM lo antes posible para mantenerse seguros. 

Uno de los desarrolladores más activos de Threat Bounty, Osman Demir, ya ha lanzado una regla Sigma comunitaria capaz de detectar intentos de explotación para CVE-2020-4888. Descarga la regla de Threat Detection Marketplace para defenderse proactivamente de posibles ciberataques:

https://tdm.socprime.com/tdm/info/oFg7JXQblNHt/Qhof03cBR-lx4sDx5gzv/#rule-context

La regla tiene traducciones para las siguientes plataformas: 

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye Helix

EDR: Carbon Black, Sentinel One

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnicas: Explotar Aplicación Expuesta a Internet (T1190)

Suscribirse a Threat Detection Marketplace de forma gratuita y reduce el tiempo medio de detección de ciberataques con una biblioteca de contenido SOC de 96,000+ que agrega reglas, analizadores y consultas de búsqueda, reglas Sigma y YARA-L fácilmente convertibles a varios formatos. ¿Quieres enriquecer la base de contenido y crear tu propio contenido de detección? Únete a nuestro Programa Threat Bounty ¡para un futuro más seguro!

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Últimas Amenazas Articles

CVE-2026-0227: Palo Alto Networks Corrige Falla de Denegación de Servicio en GlobalProtect Permitiendo la Disrupción Remota del Firewall 4 min de lectura Últimas Amenazas CVE-2026-0227: Palo Alto Networks Corrige Falla de Denegación de Servicio en GlobalProtect Permitiendo la Disrupción Remota del Firewall by Daryna Olyniychuk CVE-2026-20805: Microsoft Corrige el Día Cero Explotado Activamente en el Administrador de Escritorio de Windows 4 min de lectura Últimas Amenazas CVE-2026-20805: Microsoft Corrige el Día Cero Explotado Activamente en el Administrador de Escritorio de Windows by Daryna Olyniychuk CVE-2026-21858 también conocido como Ni8mare: Vulnerabilidad Crítica de Ejecución Remota de Código No Autenticada en la Plataforma n8n 4 min de lectura Últimas Amenazas CVE-2026-21858 también conocido como Ni8mare: Vulnerabilidad Crítica de Ejecución Remota de Código No Autenticada en la Plataforma n8n by Daryna Olyniychuk