کشف سه آسیب‌پذیری بحرانی در پلتفرم Splunk

سه آسیب پذیری با مشخصات زیر در Splink، پلتفرم جمع‌آوری، مدیریت و تحلیل  لاگ‌ها و داده‌های سیستم‌ها، شناسایی شده است:
1) آسیب‌ پذیری  Command Injectionدر بخش  External Lookups  که مربوط به ارتباط با منابع خارجی و اجرای دستورات خارجی در محیطSplunk  می‌باشد، به مهاجم اجازه می‌دهد با استفاده از  External Lookups و دستور "runshellscript" کدهای مخرب را در سرور Splunk اجرا کند. این آسیب‌پذیری با شناسه CVE-2024-36983 و شدت 8.0 گزارش شده است. 
2) آسیب‌پذیری Denial of Service در بخش REST API  که مربوط به ارائه و مدیریت اطلاعات و تعاملات بین سیستم‌ها و برنامه‌های مختلف است، وجود دارد. این آسیب پذیری می‌تواند به مهاجم اجازه دهد تا حمله  DoS را از طریق استفاده از مرجع اشاره‌گر null  در نقطه پایانی REST به نام "cluster/config" انجام دهد. حمله به این نقطه پایانی می‌تواند منجر به خرابیdaemon  شود. این آسیب‌پذیری با شناسه CVE-2024-36982 و با شدت 7.5 گزارش شده است.
3) آسیب‌پذیری تزریق کد از راه دور، در بخش Splunk Web شناسایی شده است.  Splunk Webبه کاربران اجازه می‌دهد تا از طریق مرورگر وب با Splunk ارتباط برقرار کرده، queryها را اجرا و نتایج را مشاهده کنند و همچنین از طریق تغییر پیام‌های session، کدهای مخرب را در سیستم Splunk اجرا کنند. این آسیب‌پذیری با شناسه CVE-2024-36984 و شدت 8.8 گزارش شده است. مهاجم می‌تواند با استفاده از یکquery  تقلبی و استفاده از دستور collect SPL، فایلی را ایجاد کند و می‌تواند از این فایل برای ارسال یک payload استفاده کند که منجر به اجرای arbitrary code در سیستم می‌شود. این عملیات به مهاجم اجازه می‌دهد تا دستورات خطرناک و اسکریپت‌های مخرب را اجرا کند، که می‌تواند به کنترل کامل بر روی سیستم Splunk منجر شود.

محصولات تحت تأثیر
Splunk Enterprise : نسخه  9.0.0 تا 9.0.9 و نسخه 9.1.0 تا 9.1.4 و نسخه 9.2.0 تا 9.2.1
Splunk cloud platform : نسخه 9.1.2312.100 تا 9.1.2312.108 و قبل از از 9.1.2308.207

توصیه‌های امنیتی 

• اعمال به‌روزرسانی نرم‌افزار: کاربران  Splunk Enterprise و Splunk cloud platform باید نسخه مورد استفاده در سازمان خود را به نسخه بالاتر ارتقاء دهند. 
•  نظارت مداوم : Splunk به طور فعال برای شناسایی و رفع مشکلات احتمالی ناشی از این آسیب‌‌پذیری نظارت می‌کند توصیه می‌شود کاربران نیز سیستم‌های خود را به‌ طور مداوم مانیتور کنند تا هرگونه فعالیت مشکوک را به سرعت شناسایی و متوقف کنند.
• بررسی و محدود کردن دسترسی ها : کاربران باید دسترسی‌های کاربران احراز هویت شده را بررسی کرده و اطمینان حاصل کنند که هیچ کاربر غیرمجازی نمی¬‌تواند به External Lookups دسترسی داشته باشد.
• انجام آزمون‌های نفوذ : (Penetration Testing) مدیران فناوری اطلاعات سازمان¬ها به منظور شناسایی آسیب‌پذیری‌های جدید و مقابله با آنها باید بصورت دوره‌ای، آزمون نفوذ را بر روی سیستم‌های Splunk انجام دهند. 

منابع خبر:

[1] https://advisory.splunk.com/advisories/SVD-2024-0703  
[2] https://advisory.splunk.com/advisories/SVD-2024-0702
[3] https://advisory.splunk.com/advisories/SVD-2024-0704
[4] https://cybersecuritynews.com/multiple-flaws-splunk-enterprise/