Detecção de Vulnerabilidade de Execução Remota de Código no IBM QRadar (CVE-2020-4888)

Em 27 de janeiro de 2021, a IBM lançou um patch oficial para uma vulnerabilidade grave de execução remota de código que afeta seu QRadar SIEM.

Descrição CVE-2020-4888

A falha de segurança ocorre porque a função de desserialização do Java não consegue desserializar de forma segura uma entrada fornecida pelo usuário. Como resultado, hackers remotos de baixo privilégio podem executar comandos arbitrários no sistema afetado enviando um objeto Java serializado maliciosamente modificado. 

A vulnerabilidade recebeu uma pontuação base CVSSv3 de 6.3, tornando-se um problema de gravidade média. No entanto, a falha possui uma baixa complexidade de ataque, tornando-se um bug notável que requer correção imediata. Desde que o exploit de prova de conceito (PoC) já foi tornado público, especialistas em segurança esperam tentativas de exploração em breve.

Detecção e Mitigação CVE-2020-4888

De acordo com o aviso, a vulnerabilidade afeta as versões do IBM QRadar SIEM 7.4.0 até 7.4.2 Patch 1 e do IBM QRadar SIEM 7.3.0 até 7.3.3 Patch 7. Os usuários são instados a instalar a versão mais recente do IBM QRadar SIEM o mais rápido possível para manter a segurança. 

Um dos desenvolvedores mais ativos do Threat Bounty, Osman Demir, já lançou uma regra Sigma comunitária capaz de detectar tentativas de exploração do CVE-2020-4888. Baixe a regra do Threat Detection Marketplace para defender-se proativamente de possíveis ciberataques:

https://tdm.socprime.com/tdm/info/oFg7JXQblNHt/Qhof03cBR-lx4sDx5gzv/#rule-context

A regra possui traduções para as seguintes plataformas: 

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye Helix

EDR: Carbon Black, Sentinel One

MITRE ATT&CK:

Táticas: Acesso Inicial

Técnicas: Explorar Aplicação Voltada ao Público (T1190)

Inscreva-se no Threat Detection Marketplace gratuitamente e reduza o tempo médio de detecção de ciberataques com uma biblioteca de conteúdo SOC de 96.000+ que agrega regras, parsers e consultas de pesquisa, regras Sigma e YARA-L facilmente convertíveis para vários formatos. Quer enriquecer a base de conteúdo e criar seu próprio conteúdo de detecção? Junte-se ao nosso Programa Threat Bounty por um futuro mais seguro!