IBM QRadar リモートコード実行の脆弱性 (CVE-2020-4888) 検出

2021年1月27日、IBMはQRadar SIEMに影響を与える深刻なリモートコード実行の脆弱性に対する公式パッチをリリースしました。

CVE-2020-4888 説明

このセキュリティホールは、Javaの逆シリアル化機能が、ユーザーが提供する入力を安全に逆シリアル化できないために発生します。その結果、リモートの低権限ハッカーが悪意のある修正を加えたシリアライズされたJavaオブジェクトを送信することで、影響を受けたシステムで任意のコマンドを実行することができます。 

この脆弱性はCVSSv3基本スコアで6.3を受け取り、中度の深刻性問題とされています。それにもかかわらず、攻撃の複雑さが低く、目立つバグであり、迅速なパッチ適用が必要です。概念実証（PoC）での悪用がすでに公開されているため、安全の専門家は、野外での悪用試みがすぐに行われると予想しています。

CVE-2020-4888 検出と緩和

IBMによると 勧告では、脆弱性はIBM QRadar SIEM 7.4.0から7.4.2 パッチ1およびIBM QRadar SIEM 7.3.0から7.3.3 パッチ7のバージョンに影響します。ユーザーは、できるだけ早く最新のIBM QRadar SIEMバージョンをインストールして安全を保つことが求められています。 

最も活発なThreat Bountyの開発者の一人、 Osman Demirは、CVE-2020-4888の悪用試行を検出できるコミュニティSigmaルールを既にリリースしています。可能なサイバー攻撃から積極的に守るために、Threat Detection Marketplaceからルールをダウンロードしてください：

https://tdm.socprime.com/tdm/info/oFg7JXQblNHt/Qhof03cBR-lx4sDx5gzv/#rule-context

このルールは以下のプラットフォームに翻訳されています： 

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye Helix

EDR: Carbon Black, Sentinel One

MITRE ATT&CK:

戦術: 初期アクセス

技法: 公開アプリケーションの悪用 (T1190)

Threat Detection Marketplaceに登録する は無料で、サイバー攻撃検出の時間を短縮し、ルール、パーサー、検索クエリ、SigmaとYARA-Lルールをさまざまな形式に容易に変換できる96,000以上のSOCコンテンツライブラリを集約しています。コンテンツベースを充実させ、独自の検出コンテンツを作成したいですか？ 私たちのThreat Bounty Programに参加してください より安全な未来のために!