Vulnérabilité d’exécution de code à distance IBM QRadar (CVE-2020-4888) Détection

[post-views]
mars 01, 2021 · 2 min de lecture
Vulnérabilité d’exécution de code à distance IBM QRadar (CVE-2020-4888) Détection

Le 27 janvier 2021, IBM a publié un correctif officiel pour une grave vulnérabilité d’exécution de code à distance affectant son QRadar SIEM.

Description CVE-2020-4888

La faille de sécurité se produit car la fonction de désérialisation Java ne parvient pas à désérialiser un input fourni par l’utilisateur de manière sécurisée. En conséquence, des hackers distants peu privilégiés peuvent exécuter des commandes arbitraires sur le système affecté en envoyant un objet Java désérialisé modifié de manière malveillante. 

La vulnérabilité a reçu un score de base CVSSv3 de 6,3, ce qui en fait un problème de gravité moyenne. Néanmoins, la faille a une faible complexité d’attaque, ce qui en fait un bug notable nécessitant une correction immédiate. Étant donné que l’exploit de preuve de concept (PoC) a déjà été rendu public, les experts en sécurité s’attendent à des tentatives d’exploitation en cours.

Détection et Atténuation CVE-2020-4888

Selon l’ avis, la vulnérabilité affecte les versions IBM QRadar SIEM 7.4.0 à 7.4.2 Patch 1 et IBM QRadar SIEM 7.3.0 à 7.3.3 Patch 7. Les utilisateurs sont invités à installer la dernière version de l’IBM QRadar SIEM dès que possible pour rester en sécurité. 

L’un des développeurs de Threat Bounty les plus actifs, Osman Demir, a déjà publié une règle Sigma communautaire capable de détecter les tentatives d’exploitation pour CVE-2020-4888. Téléchargez la règle depuis le Marketplace de détection des menaces pour vous défendre de manière proactive contre les cyber-attaques potentielles :

https://tdm.socprime.com/tdm/info/oFg7JXQblNHt/Qhof03cBR-lx4sDx5gzv/#rule-context

La règle est traduite pour les plateformes suivantes : 

SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye Helix

EDR : Carbon Black, Sentinel One

MITRE ATT&CK :

Tactiques : Accès initial

Techniques : Exploiter une application exposée publiquement (T1190)

Abonnez-vous au Marketplace de détection des menaces gratuitement et réduisez le temps moyen de détection des cyber-attaques avec une bibliothèque de contenu SOC de plus de 96 000 règles, parseurs et requêtes de recherche, les règles Sigma et YARA-L facilement convertibles en divers formats. Vous souhaitez enrichir la base de contenu et créer votre propre contenu de détection ? Rejoignez notre Programme Threat Bounty pour un avenir plus sûr !

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Blog, Plateforme SOC Prime — 3 min de lecture
Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Steven Edwards
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Blog, Dernières Menaces — 5 min de lecture
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Veronika Telychko