IBM QRadar远程代码执行漏洞通告,SOC类产品存在暴露到互联网被攻击的风险

2021-02-02 15:40:40
IBM官方于1月27日发布安全公告,IBM QRadar SIEM 部分版本存在高危漏洞,远程攻击者可利用该漏洞在系统执行任意命令,该漏洞利用POC(概念验证代码)已公开。腾讯安全网络空间测绘发现,国内部分SOC类产品存在暴露到互联网被攻击的风险,腾讯安全专家建议受影响的用户及相关厂商尽快自查修复。

IBM官方于127日发布安全公告,IBM QRadar SIEM 部分版本存在高危漏洞,远程攻击者可利用该漏洞在系统执行任意命令。目前,该漏洞的利用POC(概念验证代码)已公开。腾讯安全研究人员验证该漏洞时发现,国内部分SOC类产品存在暴露到互联网被攻击的风险,腾讯安全专家建议受影响的用户及相关厂商尽快自查修复。

 

漏洞详情:

IBM QRadar SIEM由于Java反序列化功能对用户提供的内容进行不安全的反序列化,而导致远程攻击者在系统上执行任意命令。通过发送恶意的序列化Java对象,攻击者可以利用此漏洞在系统执行任意命令。 

IBM QRadar SIEM是美国IBM公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督,生成详细的数据访问和用户活动报告等功能。 

IBM安全解决方案在国外应用广泛,该漏洞已引发安全研究人员关注并引发热议。

 

漏洞编号:

CVE-2020-4888

 

漏洞等级:高危

 

受影响的版本:

IBM QRadar SIEM 7.4.0 to 7.4.2 Patch 1

IBM QRadar SIEM 7.3.0 to 7.3.3 Patch 7

 

安全版本:

QRadar / QRM / QVM 7.4.2 Patch 2

QRadar / QRM / QVM 7.3.3 Patch 7 IF 1

 

腾讯安全网络空间测绘

腾讯安全专家根据已公开披露的信息检测到国内部分厂商的安全运营中心(SOC)等安全管理平台产品也暴露在外网,可能存在类似风险,建议相关企业自查修复。


漏洞修复:

腾讯安全专家建议受影响的用户尽快升级到安全版本,建议国内安全同行对各自安全运营平台(SOC)产品进行安全自查,优化安全配置,避免暴露到公网被攻击者恶意利用。

 

参考链接:

https://www.ibm.com/support/pages/node/6409306

https://exchange.xforce.ibmcloud.com/vulnerabilities/190912

https://gist.github.com/testanull/e9ba06d0c0c403402f6941fe2dbb868a


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。



最新资讯