Une nouvelle vulnérabilité identifiée dans IBM QRadar

Date de publication : 22/11/2019

La dernière mise à jour de l’API xstream (v1.4.10) réintroduit une vulnérabilité détectée en 2013 (CVE-2013-7285).

Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance. En effet, dans le cas où le cadre de sécurité n’a pas été initialisé, un attaquant peut envoyer un fichier XML (ou autre format supporté tel que JSON) spécialement conçu pour déclencher une exécution de code lors de sa désérialisation (unmarshaling).

Cette vulnérabilité, dont le score CVSSv3 a été évalué à 9.8, avait fait l’objet d’une présentation à la DefCon 2013 (conférence de sécurité) et des codes d’exploitation sont disponibles.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de code arbitraire à distance

Criticité

Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

http://blog.diniscruz.com/2013/12/xstream-remote-code-execution-exploit.html

Composants & versions vulnérables

IBM QRadar versions antérieures à 7.3.2 Patch 5

CVE

CVE-2019-10173 / CVE-2013-7285

Solutions ou recommandations

Mise en place de correctif de sécurité

Il est recommandé d’appliquer les derniers patchs de sécurité d’IBM QRadar (7.3.2 Patch 5 ou supérieur).

Solution de contournement

Aucune autre solution de contournement n’a été identifiée.

Une nouvelle vulnérabilité identifiée dans IBM QRadar

Informations

Solutions ou recommandations

Liens