Uwaga na Splunka w wersji Enterprise

Najpoważniejszą luką jest CVE-2024-45733 (wynik CVSS 8,8) – niebezpieczny problem z konfiguracją pamięci masowej sesji, który może umożliwić użytkownikowi bez roli administratora zdalne wykonywanie kodu.

Według Splunka luka dotyczy tylko wystąpień działających na komputerach z systemem Windows. Nie dotyczy również instalacji, na których nie działa Splunk Web.

Wersje Splunk Enterprise 9.2.3 i 9.1.6 rozwiązują tę lukę, podobnie jak CVE-2024-45731 (wynik CVSS 8,0), błąd zapisu pliku prowadzący do zdalnego wykonania kodu. Wersja Splunk Enterprise 9.3.1 również zawiera poprawki tego błędu.

Powyższy problem pozwala użytkownikowi bez ról „admin” lub „power” zapisać plik do katalogu głównego systemu Windows, mającego domyślną lokalizację w folderze Windows System32, gdy Splunk Enterprise dla systemu Windows jest zainstalowany na osobnym dysku. Użytkownik potencjalnie może napisać złośliwą bibliotekę DLL, która po załadowaniu jest w stanie spowodować zdalne wykonanie kodu.

Ten błąd nie dotyczy instancji Splunk Enterprise dla systemu Windows, które nie są zainstalowane na osobnym dysku.

W tym wydaniu Splunk ogłosił również poprawki dla CVE-2024-45732, poważnej luki ujawniającej informacje w Splunk Enterprise i Splunk Cloud Platform, która może umożliwić użytkownikowi o niskich uprawnieniach uruchomienie wyszukiwania i w konsekwencji dostęp do potencjalnie ograniczonych danych.

Splunk ogłosił, że najnowsze wersje Splunk Enterprise naprawiają również dziesiątki luk w pakietach innych firm używanych w produkcie.

Z kronikarskiego obowiązku wspomnimy również, że najnowsze wydanie przynosi poprawki dla ośmiu luk o średnim stopniu zagrożenia w Splunk Enterprise, które mogą prowadzić do wykonania kodu JavaScript, ujawnienia haseł w postaci zwykłego tekstu i innych ustawień konfiguracji, nieautoryzowanych modyfikacji ustawień oraz ujawnienia kluczy publicznych/prywatnych i innych danych.

Zachęcamy do podnoszenia wersji Splunka, zwłaszcza że ryzyka związane z eksploatacją luk mogą zostać podniesione. Taka sytuacja dotknęła Splunka w połowie roku. SonicWall ostrzegał w czerwcu, że załatana luka w zabezpieczeniach Splunk Enterprise jest poważniejsza niż początkowo sądzono i można ją wykorzystać za pomocą prostego żądania GET.

Problem został sklasyfikowany jako CVE-2024-36991 (wynik CVSS 7,5) i opisany jako błąd przechodzenia ścieżki, wpływający na Splunk Enterprise w wersjach systemu Windows wcześniejszych niż 9.2.2, 9.1.5 i 9.0.10. Splunk ogłosił poprawki dla tej luki 1 lipca.

Atakujący może wykorzystać tę lukę w zabezpieczeniach, aby wykonać przechodzenie ścieżki w punkcie końcowym /modules/messaging/, jeśli Splunk Web jest włączony na podatnej instancji. Błąd był spowodowany funkcją w Python os.path.join, która usuwała literę dysku z tokenów ścieżki.

Według SonicWall atakujący może wykorzystać lukę CVE-2024-36991 do wylistowania katalogów na punkcie końcowym, potencjalnie uzyskując dostęp do poufnych plików w systemie.

Firma ostrzega również, że kod proof-of-concept (PoC) ukierunkowany na lukę został opublikowany w serwisie GitHub, co zwiększa ryzyko wykorzystania podatności w atakach w praktyce.