IBM QRadar 원격 코드 실행 취약점 (CVE-2020-4888) 탐지

[post-views]
3월 01, 2021 · 2 분 읽기
IBM QRadar 원격 코드 실행 취약점 (CVE-2020-4888) 탐지

2021년 1월 27일, IBM은 자사의 QRadar SIEM에 영향을 미치는 심각한 원격 코드 실행 취약점에 대한 공식 패치를 발표했습니다.

CVE-2020-4888 설명

이 보안 취약점은 Java 역직렬화 함수가 사용자가 제공한 입력을 안전하게 역직렬화하지 못하기 때문에 발생합니다. 그 결과, 원격의 낮은 권한을 가진 해커가 악성 수정된 직렬화된 Java 객체를 전송함으로써 영향을 받는 시스템에서 임의의 명령을 실행할 수 있습니다. 

이 취약점은 CVSSv3 기준점수 6.3을 받아 중간 수준의 심각성 문제로 분류되었습니다. 그럼에도 불구하고, 이 결함은 공격 복잡성이 낮아 즉각적인 패치가 필요한 주목할 만한 버그입니다. PoC(개념 증명) 익스플로잇이 이미 공개된 상태이므로 보안 전문가들은 곧 대규모 공격 시도가 있을 것으로 예상합니다.

CVE-2020-4888 탐지 및 완화

IBM에 따르면 자문에서 이 취약점은 IBM QRadar SIEM 7.4.0부터 7.4.2 패치 1 및 IBM QRadar SIEM 7.3.0부터 7.3.3 패치 7 버전에 영향을 미칩니다. 사용자들은 최신 IBM QRadar SIEM 버전을 가능한 빨리 설치하여 안전을 유지해야 합니다. 

가장 활발한 Threat Bounty 개발자 중 한 명인 오스만 데미르는 이미 CVE-2020-4888 취약점 이용 시도를 탐지할 수 있는 커뮤니티 Sigma 규칙을 발표했습니다. 가능성 있는 사이버 공격으로부터 선제적으로 방어하려면 Threat Detection Marketplace에서 해당 규칙을 다운로드하세요:

https://tdm.socprime.com/tdm/info/oFg7JXQblNHt/Qhof03cBR-lx4sDx5gzv/#rule-context

이 규칙은 다음 플랫폼들로 번역이 가능합니다: 

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye Helix

EDR: Carbon Black, Sentinel One

MITRE ATT&CK:

전술: 초기 접근

기법: 퍼블릭-페이싱 애플리케이션 익스플로잇 (T1190)

Threat Detection Marketplace에 구독하세요 무료로 사이버 공격 탐지 시간을 줄이세요, 96,000개 이상의 SOC 콘텐츠 라이브러리를 통해 규칙, 파서 및 검색 쿼리를 집계하며, Sigma와 YARA-L 규칙을 다양한 형식으로 쉽게 변환할 수 있습니다. 콘텐츠 기반을 확장하고 자체 탐지 콘텐츠를 생성하고 싶습니까? 우리의 Threat Bounty 프로그램에 참여하세요 더 안전한 미래를 위해!

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.