Vulnerabilità di Esecuzione di Codice Remota in IBM QRadar (CVE-2020-4888) Rilevamento

[post-views]
Marzo 01, 2021 · 2 min di lettura
Vulnerabilità di Esecuzione di Codice Remota in IBM QRadar (CVE-2020-4888) Rilevamento

Il 27 gennaio 2021, IBM ha rilasciato una patch ufficiale per una grave vulnerabilità di esecuzione di codice remoto che interessa il suo QRadar SIEM.

Descrizione CVE-2020-4888

Il problema di sicurezza si verifica perché la funzione di deserializzazione Java non riesce a deserializzare in modo sicuro un input fornito dall’utente. Di conseguenza, hacker remoti con pochi privilegi possono eseguire comandi arbitrari sul sistema interessato inviando un oggetto Java serializzato modificato in modo malevolo. 

La vulnerabilità ha ricevuto un punteggio base di CVSSv3 di 6,3, classificandosi come un problema di gravità media. Tuttavia, la vulnerabilità ha una complessità di attacco bassa, rendendola un bug evidente che richiede un’immediata correzione. Poiché il proof-of-concept (PoC) exploit è già stato reso pubblico, gli esperti di sicurezza si aspettano presto tentativi di sfruttamento nel mondo reale.

Rilevamento e Mitigazione CVE-2020-4888

Secondo l’advisory di IBM advisory, la vulnerabilità interessa le versioni IBM QRadar SIEM 7.4.0 fino a 7.4.2 Patch 1 e IBM QRadar SIEM 7.3.0 fino a 7.3.3 Patch 7. Gli utenti sono invitati a installare l’ultima versione di IBM QRadar SIEM il prima possibile per rimanere sicuri. 

Uno degli sviluppatori più attivi di Threat Bounty, Osman Demir, ha già rilasciato una regola Sigma comunitaria in grado di rilevare i tentativi di sfruttamento per CVE-2020-4888. Scarica la regola da Threat Detection Marketplace per difenderti proattivamente da possibili attacchi informatici:

https://tdm.socprime.com/tdm/info/oFg7JXQblNHt/Qhof03cBR-lx4sDx5gzv/#rule-context

La regola ha traduzioni per le seguenti piattaforme: 

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye Helix

EDR: Carbon Black, Sentinel One

MITRE ATT&CK:

Tattiche: Accesso Iniziale

Tecniche: Sfruttare Applicazioni Esposte (T1190)

Iscriviti a Threat Detection Marketplace gratuitamente e riduci il tempo medio di rilevamento degli attacchi informatici con una libreria di contenuti SOC di oltre 96.000 elementi che aggrega regole, parser e query di ricerca, regole Sigma e YARA facilmente convertibili in vari formati. Vuoi arricchire la base di contenuti e creare il tuo contenuto di rilevamento? Unisciti al nostro Programma Threat Bounty per un futuro più sicuro!

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Blog, Piattaforma SOC Prime — 3 min di lettura
Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Steven Edwards
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko