Splunk je objavio zakrpe za nekoliko ranjivosti visoke ozbiljnosti u svom Enterprise proizvodu koje bi mogle omogućiti napadačima da izvrše daljinski kod na pogođenim sistemima. Ranjivosti utiču na više verzija Splunk Enterprisea i Splunk Cloud Platforme.
Jedna od najkritičnijih mana, praćena kao CVE-2024-45733, utiče na Splunk Enterprise za Windows verzije ispod 9.2.3 i 9.1.6.
Ova ranjivost omogućava korisniku s niskim privilegijama bez administratorskih ili moćnih uloga da izvrši daljinsko izvršavanje koda zbog nesigurne konfiguracije pohrane sesije. Splunk je ovu ranjivost ocijenio kao visoku ozbiljnost sa CVSS ocjenom 8,8.
Još jedna ranjivost visoke ozbiljnosti, CVE-2024-45731 , utiče na Splunk Enterprise za Windows verzije ispod 9.3.1, 9.2.3 i 9.1.6.
Omogućava korisniku s niskim privilegijama da upisuje datoteke u korijenski direktorij Windows sistema kada je Splunk instaliran na zasebnom disku. Ovo bi potencijalno moglo omogućiti pisanje zlonamjernih DLL-ova koji, ako se učitaju, mogu dovesti do udaljenog izvršavanja koda.
Treća ranjivost, CVE-2024-45732, utiče na više verzija Splunk Enterprise i Splunk Cloud Platform. Omogućava korisnicima s niskim privilegijama da pokreću pretrage kao “ničiji” korisnik u aplikaciji SplunkDeploymentServerConfig, potencijalno pristupajući ograničenim podacima.
Splunk je objavio zakrpe za rješavanje ovih ranjivosti i preporučuje korisnicima da odmah nadograde na najnovije verzije.
Za Splunk Enterprise, korisnici bi trebali nadograditi na verzije 9.3.1, 9.2.3, 9.1.6 ili novije, ovisno o njihovoj trenutnoj verziji. Instance Splunk Cloud Platforme se aktivno prate i zakrpe od strane kompanije.
Pored nedostataka u daljinskom izvršavanju koda, Splunk je također zakrpio nekoliko ranjivosti u paketima trećih strana koji se koriste u dodatku Splunk za Amazon Web Services. To uključuje velike nedostatke u idna i certifi paketima.
Ove ranjivosti prvenstveno utiču na instance kada je Splunk Web omogućen. Splunk je objavio zakrpe za rješavanje ovih problema i snažno preporučuje korisnicima da nadograde na najnovije verzije:
- Splunk Enterprise: 9.3.1, 9.2.3 i 9.1.6 ili novije
- Splunk Cloud Platforma: 9.2.2403.103, 9.1.2312.200, 9.1.2312.110 i 9.1.2308.208 ili novije
Za korisnike koji ne mogu odmah da se ažuriraju, Splunk predlaže nekoliko ublažavanja:
- Onemogućite Splunk Web na pogođenim sistemima, posebno na indeksatorima u distribuiranim okruženjima.
- Izmijenite datoteku local.meta u aplikaciji SplunkDeploymentServerConfig da ograničite pristup pisanju objektima znanja.
- Uvjerite se da Splunk Enterprise nije instaliran na odvojenom disku od sistemskog pogona.
Organizacijama koje koriste zahvaćene Splunk proizvode se snažno savjetuje da pregledaju sigurnosne savjete i primjene neophodna ažuriranja što je prije moguće kako bi umanjili rizik od eksploatacije.
Otkrivanje ovih ranjivosti naglašava važnost promptne primjene sigurnosnih ažuriranja, posebno za kritičnu infrastrukturu i alate za nadzor sigurnosti kao što je Splunk. Napadači često ciljaju takve platforme zbog njihovog privilegovanog pristupa osjetljivim podacima i sistemima širom organizacija.
Izvor: CyberSecurityNews
