2021년 1월 27일, IBM은 자사의 QRadar SIEM에 영향을 미치는 심각한 원격 코드 실행 취약점에 대한 공식 패치를 발표했습니다.
CVE-2020-4888 설명
이 보안 취약점은 Java 역직렬화 함수가 사용자가 제공한 입력을 안전하게 역직렬화하지 못하기 때문에 발생합니다. 그 결과, 원격의 낮은 권한을 가진 해커가 악성 수정된 직렬화된 Java 객체를 전송함으로써 영향을 받는 시스템에서 임의의 명령을 실행할 수 있습니다.
이 취약점은 CVSSv3 기준점수 6.3을 받아 중간 수준의 심각성 문제로 분류되었습니다. 그럼에도 불구하고, 이 결함은 공격 복잡성이 낮아 즉각적인 패치가 필요한 주목할 만한 버그입니다. PoC(개념 증명) 익스플로잇이 이미 공개된 상태이므로 보안 전문가들은 곧 대규모 공격 시도가 있을 것으로 예상합니다.
CVE-2020-4888 탐지 및 완화
IBM에 따르면 자문에서 이 취약점은 IBM QRadar SIEM 7.4.0부터 7.4.2 패치 1 및 IBM QRadar SIEM 7.3.0부터 7.3.3 패치 7 버전에 영향을 미칩니다. 사용자들은 최신 IBM QRadar SIEM 버전을 가능한 빨리 설치하여 안전을 유지해야 합니다.
가장 활발한 Threat Bounty 개발자 중 한 명인 오스만 데미르는 이미 CVE-2020-4888 취약점 이용 시도를 탐지할 수 있는 커뮤니티 Sigma 규칙을 발표했습니다. 가능성 있는 사이버 공격으로부터 선제적으로 방어하려면 Threat Detection Marketplace에서 해당 규칙을 다운로드하세요:
https://tdm.socprime.com/tdm/info/oFg7JXQblNHt/Qhof03cBR-lx4sDx5gzv/#rule-context
이 규칙은 다음 플랫폼들로 번역이 가능합니다:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye Helix
EDR: Carbon Black, Sentinel One
MITRE ATT&CK:
전술: 초기 접근
기법: 퍼블릭-페이싱 애플리케이션 익스플로잇 (T1190)
Threat Detection Marketplace에 구독하세요 무료로 사이버 공격 탐지 시간을 줄이세요, 96,000개 이상의 SOC 콘텐츠 라이브러리를 통해 규칙, 파서 및 검색 쿼리를 집계하며, Sigma와 YARA-L 규칙을 다양한 형식으로 쉽게 변환할 수 있습니다. 콘텐츠 기반을 확장하고 자체 탐지 콘텐츠를 생성하고 싶습니까? 우리의 Threat Bounty 프로그램에 참여하세요 더 안전한 미래를 위해!
