W zeszły czwartek Splunk ogłosił aktualizacje zabezpieczeń Splunk Enterprise, usuwające wiele luk o dużej wadze, w tym niektóre mające wpływ na pakiety innych firm używane przez ten produkt.
Najpoważniejszą z podatności jest ta o numerze CVE-2023-32707 – problem z eskalacją kompetencji, umożliwiający użytkownikom o niskich uprawnieniach z funkcją „edit_user” eskalację uprawnień do administratora za pośrednictwem specjalnie spreparowanego żądania internetowego.
„Dzieje się tak, ponieważ funkcja edit_user nie honoruje ustawienia grantableRoles w pliku konfiguracyjnym authorize.conf, co zapobiega wystąpieniu tego scenariusza” – wyjaśnia Splunk w poradniku.
Następna w kolejce jest CVE-2023-32706, luka typu „odmowa usługi” (DoS) w domenie Splunk, która pojawia się, gdy nieprawidłowo skonfigurowany parser XML odbiera specjalnie spreparowane wiadomości w ramach uwierzytelniania SAML.
Dane wejściowe zawierają odwołanie do rozszerzenia encji, a odwołania rekurencyjne mogą spowodować, że parser XML wykorzysta całą dostępną pamięć na komputerze, co doprowadzi do awarii lub zakończenia procesu.
Inną luką o wysokim stopniu ważności, którą wyeliminowano w Splunk Enterprise, jest CVE-2023-32708, problem z podziałem odpowiedzi HTTP, który umożliwia użytkownikowi o niskich uprawnieniach dostęp do innych punktów końcowych REST w systemie i wyświetlanie ograniczonej zawartości.
Wraz z czwartkową poprawką Splunk rozwiązał również wiele poważnych problemów w pakietach innych firm używanych w Splunk Enterprise, takich jak Libxml2, OpenSSL, Curl, Libarchive, SQLite, Go i wiele innych. Niektóre z tych luk są znane od ponad czterech lat.
Wszystkie wady zostały usunięte wraz z wydaniem Splunk Enterprise w wersjach 8.1.14, 8.2.11 i 9.0.5. Aktualizacje usuwają również wiele luk o średniej wadze.
W czwartek Splunk ogłosił również poprawki błędów o dużej wadze w Splunk App for Lookup File Editing i Splunk App for Stream oraz poprawki poważnych problemów w pakietach innych firm używanych w Splunk Universal Forwarders i Splunk Cloud.
Dodatkowe informacje na temat załatanych luk można znaleźć na stronie z poradami bezpieczeństwa Splunk.
Poprzednie tak poważne poprawki były wydane przez Splunka w połowie lutego. Tak jak teraz, dotyczyły głównie Splunk Enterprise i usuwały wiele poważnych podatności, w tym, podobnie jak w poprawce z czwartku, defekty bezpieczeństwa mające wpływ na pakiety innych firm używane przez produkt.
Najpoważniejsze luki to CVE-2023-22939 i CVE-2023-22935 (wynik CVSS 8,1), dwie kwestie, które mogą prowadzić do obejścia zabezpieczeń języka przetwarzania wyszukiwania (SPL) dla ryzykownych poleceń. Obie luki dotyczą instancji z włączonym Splunk Web i wymagają od użytkownika o wysokich uprawnieniach wysłania żądania w przeglądarce.
CVE-2023-22934, kolejne obejście zabezpieczeń SPL w Splunk Enterprise, mocno uciążliwe, wymaga od uwierzytelnionego użytkownika zapisania pracy przed wysłaniem żądania w przeglądarce.
Splunk wydał również łatki dla dwóch luk związanych ze skryptami krzyżowymi (XSS) o wysokim stopniu ważności oraz udostępnił dodatkowe zasoby do wyszukiwania oznak złośliwego wykorzystania.
Naprawdę warto zwrócić uwagę na wersję Splunka, której się używa. Jeżeli poniżej wersji Splunk Enterprise 8.1.13, 8.2.10 i 9.0.4, powinno się natychmiast podnieść środowisko. Zaleca się także jak najszybszą aktualizację do nowej, poprawionej iteracji. Dodatkowe informacje na temat rozwiązanych problemów można znaleźć na stronie z poradami bezpieczeństwa Splunk.