首页 > 安全研究 > 安全通报 > 安全通告

IBM QRadar SIEM远程代码执行漏洞(CVE-2020-4888)

发布时间 2021-02-03

0x00 漏洞概述

CVE  ID

CVE-2020-4888

时  间

2021-02-03

类   型

RCE

等  级

高危

远程利用

影响范围


 

0x01 漏洞详情

image.png

 

IBM QRadar Security Information and Event Management (SIEM) 是IBM公司的一套被广泛使用的安全智能保护资产和信息远离高级威胁的解决方案。它可帮助安全团队准确检测企业中的威胁并划分优先级,并且能够智能洞察,帮助团队迅速做出反应,从而减少事件造成的影响。

2021年01月27日,IBM发布安全公告,公开了IBM QRadar SIEM中的一个远程代码执行漏洞(CVE-2020-4888),其CVSSv3评分8.8。

由于Java反序列化功能对用户提供的内容进行了不安全的反序列化,导致攻击者可以通过发送恶意的序列化Java对象来利用此漏洞,成功利用此漏洞的攻击者可以在目标系统上执行任意命令。目前该漏洞已被修复,但PoC已在Github上公开。

截止目前,通过zoomeye搜索,全球共分布1262292个设备和网站,其中中国分布123429,位居第三。

image.png

 

影响范围

IBM QRadar SIEM 7.4.0 - 7.4.2 Patch 1

IBM QRadar SIEM 7.3.0 -7.3.3 Patch 7

 

0x02 处置建议

目前该漏洞已被修复,建议升级至如下版本:

QRadar/QRM/QVM 7.4.2 Patch 2

下载链接:

https://www.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+Vulnerability+Manager&release=All&platform=All&function=fixId&fixids=7.4.2-QRADAR-QRSIEM-20210120225428&includeRequisites=1&includeSupersedes=0&downloadMethod=http&source=SAR

 

QRadar/QRM/QVM 7.3.3 Patch 7 IF 1

下载链接:

https://www.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+Vulnerability+Manager&release=All&platform=All&function=fixId&fixids=7.3.3-QRADAR-QRSIEM-20210120163940INT&includeRequisites=1&includeSupersedes=0&downloadMethod=http&source=SAR

 

 

0x03 参考链接

https://www.ibm.com/support/pages/node/6409306

https://nvd.nist.gov/vuln/detail/CVE-2020-4888

https://gist.githubusercontent.com/testanull/e9ba06d0c0c403402f6941fe2dbb868a/raw/7c86ee239ce6edbc8b2f1b3b253196af946f6905/CVE-2020-4888_poc.txt


0x04 时间线

2021-01-27  IBM发布安全公告

2021-02-03  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png

 

上一篇 下一篇