IBM QRadar SIEM远程代码执行漏洞(CVE-2020-4888)
发布时间 2021-02-030x00 漏洞概述
CVE ID | CVE-2020-4888 | 时 间 | 2021-02-03 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 |
0x01 漏洞详情
IBM QRadar Security Information and Event Management (SIEM) 是IBM公司的一套被广泛使用的安全智能保护资产和信息远离高级威胁的解决方案。它可帮助安全团队准确检测企业中的威胁并划分优先级,并且能够智能洞察,帮助团队迅速做出反应,从而减少事件造成的影响。
2021年01月27日,IBM发布安全公告,公开了IBM QRadar SIEM中的一个远程代码执行漏洞(CVE-2020-4888),其CVSSv3评分8.8。
由于Java反序列化功能对用户提供的内容进行了不安全的反序列化,导致攻击者可以通过发送恶意的序列化Java对象来利用此漏洞,成功利用此漏洞的攻击者可以在目标系统上执行任意命令。目前该漏洞已被修复,但PoC已在Github上公开。
截止目前,通过zoomeye搜索,全球共分布1262292个设备和网站,其中中国分布123429,位居第三。
影响范围
IBM QRadar SIEM 7.4.0 - 7.4.2 Patch 1
IBM QRadar SIEM 7.3.0 -7.3.3 Patch 7
0x02 处置建议
目前该漏洞已被修复,建议升级至如下版本:
QRadar/QRM/QVM 7.4.2 Patch 2
下载链接:
https://www.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+Vulnerability+Manager&release=All&platform=All&function=fixId&fixids=7.4.2-QRADAR-QRSIEM-20210120225428&includeRequisites=1&includeSupersedes=0&downloadMethod=http&source=SAR
QRadar/QRM/QVM 7.3.3 Patch 7 IF 1
下载链接:
https://www.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+Vulnerability+Manager&release=All&platform=All&function=fixId&fixids=7.3.3-QRADAR-QRSIEM-20210120163940INT&includeRequisites=1&includeSupersedes=0&downloadMethod=http&source=SAR
0x03 参考链接
https://www.ibm.com/support/pages/node/6409306
https://nvd.nist.gov/vuln/detail/CVE-2020-4888
https://gist.githubusercontent.com/testanull/e9ba06d0c0c403402f6941fe2dbb868a/raw/7c86ee239ce6edbc8b2f1b3b253196af946f6905/CVE-2020-4888_poc.txt
0x04 时间线
2021-01-27 IBM发布安全公告
2021-02-03 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/