Une nouvelle vulnérabilité identifiée dans IBM QRadar

La dernière mise à jour de l’API xstream (v1.4.10) réintroduit une vulnérabilité détectée en 2013 (CVE-2013-7285).

Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance. En effet, dans le cas où le cadre de sécurité n’a pas été initialisé, un attaquant peut envoyer un fichier XML (ou autre format supporté tel que JSON) spécialement conçu pour déclencher une exécution de code lors de sa désérialisation (unmarshaling).

Cette vulnérabilité, dont le score CVSSv3 a été évalué à 9.8, avait fait l’objet d’une présentation à la DefCon 2013 (conférence de sécurité) et des codes d’exploitation sont disponibles.

Informations
+

Risques

  • Exécution de code arbitraire à distance

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

Composants & versions vulnérables

  • IBM QRadar versions antérieures à 7.3.2 Patch 5

CVE


Recommandations
+

Mise en place de correctif de sécurité

  • Il est recommandé d’appliquer les derniers patchs de sécurité d’IBM QRadar (7.3.2 Patch 5 ou supérieur).

Solution de contournement

  • Aucune autre solution de contournement n’a été identifiée.