سه آسیب پذیری با مشخصات زیر در Splink، پلتفرم جمعآوری، مدیریت و تحلیل لاگها و دادههای سیستمها، شناسایی شده است:
1) آسیب پذیری Command Injectionدر بخش External Lookups که مربوط به ارتباط با منابع خارجی و اجرای دستورات خارجی در محیطSplunk میباشد، به مهاجم اجازه میدهد با استفاده از External Lookups و دستور "runshellscript" کدهای مخرب را در سرور Splunk اجرا کند. این آسیبپذیری با شناسه CVE-2024-36983 و شدت 8.0 گزارش شده است.
2) آسیبپذیری Denial of Service در بخش REST API که مربوط به ارائه و مدیریت اطلاعات و تعاملات بین سیستمها و برنامههای مختلف است، وجود دارد. این آسیب پذیری میتواند به مهاجم اجازه دهد تا حمله DoS را از طریق استفاده از مرجع اشارهگر null در نقطه پایانی REST به نام "cluster/config" انجام دهد. حمله به این نقطه پایانی میتواند منجر به خرابیdaemon شود. این آسیبپذیری با شناسه CVE-2024-36982 و با شدت 7.5 گزارش شده است.
3) آسیبپذیری تزریق کد از راه دور، در بخش Splunk Web شناسایی شده است. Splunk Webبه کاربران اجازه میدهد تا از طریق مرورگر وب با Splunk ارتباط برقرار کرده، queryها را اجرا و نتایج را مشاهده کنند و همچنین از طریق تغییر پیامهای session، کدهای مخرب را در سیستم Splunk اجرا کنند. این آسیبپذیری با شناسه CVE-2024-36984 و شدت 8.8 گزارش شده است. مهاجم میتواند با استفاده از یکquery تقلبی و استفاده از دستور collect SPL، فایلی را ایجاد کند و میتواند از این فایل برای ارسال یک payload استفاده کند که منجر به اجرای arbitrary code در سیستم میشود. این عملیات به مهاجم اجازه میدهد تا دستورات خطرناک و اسکریپتهای مخرب را اجرا کند، که میتواند به کنترل کامل بر روی سیستم Splunk منجر شود.
محصولات تحت تأثیر
Splunk Enterprise : نسخه 9.0.0 تا 9.0.9 و نسخه 9.1.0 تا 9.1.4 و نسخه 9.2.0 تا 9.2.1
Splunk cloud platform : نسخه 9.1.2312.100 تا 9.1.2312.108 و قبل از از 9.1.2308.207
توصیههای امنیتی
- اعمال بهروزرسانی نرمافزار: کاربران Splunk Enterprise و Splunk cloud platform باید نسخه مورد استفاده در سازمان خود را به نسخه بالاتر ارتقاء دهند.
- نظارت مداوم : Splunk به طور فعال برای شناسایی و رفع مشکلات احتمالی ناشی از این آسیبپذیری نظارت میکند توصیه میشود کاربران نیز سیستمهای خود را به طور مداوم مانیتور کنند تا هرگونه فعالیت مشکوک را به سرعت شناسایی و متوقف کنند.
- بررسی و محدود کردن دسترسی ها : کاربران باید دسترسیهای کاربران احراز هویت شده را بررسی کرده و اطمینان حاصل کنند که هیچ کاربر غیرمجازی نمی¬تواند به External Lookups دسترسی داشته باشد.
- انجام آزمونهای نفوذ : (Penetration Testing) مدیران فناوری اطلاعات سازمان¬ها به منظور شناسایی آسیبپذیریهای جدید و مقابله با آنها باید بصورت دورهای، آزمون نفوذ را بر روی سیستمهای Splunk انجام دهند.
منابع خبر:
[1] https://advisory.splunk.com/advisories/SVD-2024-0703
[2] https://advisory.splunk.com/advisories/SVD-2024-0702
[3] https://advisory.splunk.com/advisories/SVD-2024-0704
[4] https://cybersecuritynews.com/multiple-flaws-splunk-enterprise/
- 220