Splunk, fundament niezliczonych środowisk SIEM i observability, w ostatnich latach łata jedną dziurę za drugą. Obecnie najgłośniejsze są dwie odrębne, ale komplementarne luki – krytyczna zdalna możliwość wykonania kodu (RCE) w mechanizmie Universal Forwarder (UF) oraz cała seria luk typu Cross-Site Scripting (XSS) w interfejsie Splunk Enterprise. Choć ataki wykorzystują różne wektory, oba problemy mogą prowadzić do pełnego przejęcia infrastruktury. Poniżej publikujemy szczegóły.
1. Podatność w Universal Forwarder
3 czerwca 2025 roku ujawniono poważną lukę bezpieczeństwa w oprogramowaniu Splunk Universal Forwarder dla systemu Windows. Otrzymała ona identyfikator CVE-2025-20298. Podatność, oznaczona wysokim poziomem ryzyka (CVSS 8.0), dotyczy nieprawidłowego przypisywania uprawnień podczas instalacji lub aktualizacji oprogramowania, co może prowadzić do nieautoryzowanego dostępu do katalogu instalacyjnego przez użytkowników nieposiadających uprawnień administratora.
Szczegóły techniczne
Problem wynika z błędnej konfiguracji uprawnień w katalogu instalacyjnym Splunk Universal Forwarder (domyślnie: C:\Program Files\SplunkUniversalForwarder). W wersjach poniżej 9.4.2 (oraz odpowiednio 9.3.4, 9.2.6 i 9.1.9) katalog ten może być dostępny dla użytkowników niebędących administratorami, co narusza zasadę minimalnych uprawnień (principle of least privilege). Użytkownicy ci mogą przeglądać, modyfikować lub usuwać pliki konfiguracyjne oraz inne dane, co stwarza ryzyko dla integralności i poufności systemu (advisory.splunk.com).
Zgodnie z klasyfikacją CWE-732 problem ten dotyczy nieprawidłowego przypisywania uprawnień do zasobów krytycznych. Wektor ataku CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H wskazuje na możliwość zdalnego wykorzystania luki przy minimalnym zaangażowaniu użytkownika.
Zalecenia dotyczące zabezpieczeń
Splunk zaleca niezwłoczną aktualizację Universal Forwarder do jednej z następujących wersji:
- 9.4.2
- 9.3.4
- 9.2.6
- 9.1.9
Jeśli aktualizacja nie jest możliwa, można zastosować tymczasowe rozwiązanie, polegające na usunięciu nieprawidłowych uprawnień za pomocą poniższego polecenia, uruchomionego z uprawnieniami administratora w wierszu poleceń lub PowerShell:
:contentReference[oaicite:48]{index=48}Polecenie to usuwa grupę „Built-in Users” (*BU) z listy uprawnień do katalogu instalacyjnego, ograniczając dostęp tylko do użytkowników z odpowiednimi uprawnieniami.
2. Podatność XSS
Informacja o drugiej podatności pojawiła się 2 czerwca. Producent opublikował ostrzeżenie dotyczące luki bezpieczeństwa typu Reflected Cross-Site Scripting (XSS) w komponentach Splunk Enterprise oraz Splunk Cloud Platform. Podatność, oznaczona jako CVE-2025-20297 i opisana w biuletynie SVD-2025-0601, została sklasyfikowana jako umiarkowanie poważna z wynikiem CVSSv3.1 wynoszącym 4.3.
Charakterystyka luki
Podatność występuje w komponencie generowania PDF w Splunk Enterprise, konkretnie w punkcie końcowym REST pdfgen/render. Umożliwia atakującym z niskimi uprawnieniami (nieposiadającym ról „admin” lub „power”) wstrzyknięcie złośliwego kodu JavaScript, który może zostać wykonany w przeglądarkach innych użytkowników.
Wpływ na systemy
Luka dotyczy następujących wersji:
- Splunk Enterprise: wszystkie wersje poniżej 9.4.2, 9.3.4 i 9.2.6,
- Splunk Cloud Platform: wersje poniżej 9.3.2411.102, 9.3.2408.111 i 9.2.2406.118.
W szczególności na atak podatny jest komponent Splunk Web w wersjach 9.4.1, 9.3.0 do 9.3.3 oraz 9.2.0 do 9.2.5. Wersje 9.1.x nie są podatne na tę lukę.
Wektor ataku
Atakujący może wykorzystać podatność poprzez przesłanie specjalnie spreparowanego żądania do punktu końcowego pdfgen/render, co skutkuje wykonaniem złośliwego kodu JavaScript w przeglądarce ofiary. Wymagane jest uwierzytelnienie użytkownika, jednak nie są potrzebne wysokie uprawnienia.
Rekomendacje dotyczące łagodzenia skutków
Splunk zaleca niezwłoczną aktualizację do następujących wersji:
- Splunk Enterprise: 9.4.2, 9.3.4 lub 9.2.6
- Splunk Cloud Platform: 9.3.2411.102, 9.3.2408.111 lub 9.2.2406.118
Dla użytkowników Splunk Cloud Platform aktualizacje są wdrażane automatycznie.
W przypadku braku możliwości przeprowadzenia natychmiastowej aktualizacji tymczasowym rozwiązaniem może być wyłączenie komponentu Splunk Web, co eliminuje wektor ataku, jednak może wpłynąć na funkcjonalność interfejsu użytkownika.
Dodatkowe środki ostrożności
Organizacje powinny również:
- Przejrzeć i zaktualizować polityki zarządzania uprawnieniami użytkowników, ograniczając dostęp do wrażliwych funkcji.
- Monitorować logi systemowe pod kątem nietypowych aktywności związanych z komponentem pdfgen/render.
- Przeprowadzić szkolenie użytkowników w zakresie rozpoznawania potencjalnych prób ataków XSS.
Podsumowanie
Luki CVE-2025-20298 oraz CVE-2025-20297 stanowią poważne zagrożenie dla środowisk korzystających ze Splunk Universal Forwarder na systemach Windows oraz Splunk Enterprise i Splunk Cloud Platform. Nieautoryzowany dostęp do katalogu instalacyjnego może prowadzić do naruszenia integralności danych, wycieku informacji oraz zakłóceń w działaniu systemów monitorowania i zgodności. Zaleca się pilne podjęcie działań naprawczych, w tym aktualizację oprogramowania lub zastosowanie opisanej metody tymczasowego zabezpieczenia.