首頁 > 安全研究 > 安全通報 > 安全通告

IBM QRadar SIEM遠程代碼執行漏洞(CVE-2020-4888)

發布時間 2021-02-03

0x00 漏洞概述

CVE  ID

CVE-2020-4888

時  間

2021-02-03

類   型

RCE

等  級

高危

遠程利用

影響范圍


 

0x01 漏洞詳情

image.png

 

IBM QRadar Security Information and Event Management (SIEM) 是IBM公司的一套被廣泛使用的安全智能保護資產和信息遠離高級威脅的解決方案。它可幫助安全團隊準確檢測企業中的威脅并劃分優先級,并且能夠智能洞察,幫助團隊迅速做出反應,從而減少事件造成的影響。

2021年01月27日,IBM發布安全公告,公開了IBM QRadar SIEM中的一個遠程代碼執行漏洞(CVE-2020-4888),其CVSSv3評分8.8。

由于Java反序列化功能對用戶提供的內容進行了不安全的反序列化,導致攻擊者可以通過發送惡意的序列化Java對象來利用此漏洞,成功利用此漏洞的攻擊者可以在目標系統上執行任意命令。目前該漏洞已被修復,但PoC已在Github上公開。

截止目前,通過zoomeye搜索,全球共分布1262292個設備和網站,其中中國分布123429,位居第三。

image.png

 

影響范圍

IBM QRadar SIEM 7.4.0 - 7.4.2 Patch 1

IBM QRadar SIEM 7.3.0 -7.3.3 Patch 7

 

0x02 處置建議

目前該漏洞已被修復,建議升級至如下版本:

QRadar/QRM/QVM 7.4.2 Patch 2

下載鏈接:

https://www.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+Vulnerability+Manager&release=All&platform=All&function=fixId&fixids=7.4.2-QRADAR-QRSIEM-20210120225428&includeRequisites=1&includeSupersedes=0&downloadMethod=http&source=SAR

 

QRadar/QRM/QVM 7.3.3 Patch 7 IF 1

下載鏈接:

https://www.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+Vulnerability+Manager&release=All&platform=All&function=fixId&fixids=7.3.3-QRADAR-QRSIEM-20210120163940INT&includeRequisites=1&includeSupersedes=0&downloadMethod=http&source=SAR

 

 

0x03 參考鏈接

https://www.ibm.com/support/pages/node/6409306

https://nvd.nist.gov/vuln/detail/CVE-2020-4888

https://gist.githubusercontent.com/testanull/e9ba06d0c0c403402f6941fe2dbb868a/raw/7c86ee239ce6edbc8b2f1b3b253196af946f6905/CVE-2020-4888_poc.txt


0x04 時間線

2021-01-27  IBM發布安全公告

2021-02-03  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇