周,国外安全研究员发布了一个IBM Qradar SIEM Java Deser漏洞。 CVE编号:CVE-2020–4280 (详情)
Qradar不仅有企业版,同时也具有社区版。
可以从这里下载:https://developer.ibm.com/qradar/ce/,目前只有Community Edition版本7.3.3,而Enterprise Edition当前正在使用7.4.1版本。登录后,将下载一个ova文件,以导入到VMWare/Virtual Box中。
安装过程可以参考:https://kifarunix.com/how-to-install-ibm-qradar-ce-v7-3-1-on-
作者使用的poc:
<exportedMethod exposeToJMX="false" readOnly="true" parameterNames="changedSettings" className="com.q1labs.assetprofilerconfiguration.ui.util.AssetProfilerConfig" methodCode="974337442" methodName="validateChangesAssetConfiguration" appName="qradar"/>在作者的原始PoC中,有一个比较麻烦的句柄: 使用Jython1小工具启用console.enableExecuteCommand- >属性,然后调用Qradar.executeCommand()。
另一种方法可以更简洁地处理,即使用定制版本的ROME小工具执行并响应正文,PoC结果如下:
Bypass CVE-2020–4280:
ref: