یک آسیبپذیری اجرای کد از راه دور (RCE) در Splunk Enterprise کشف شده است که به مهاجمان امکان بارگذاری فایلهای مخرب دلخواه را خواهد داد. در برخی از نسخههای این پلتفرم XSLT ارائه شده توسط کاربر تایید اعتبار نمیشود. این موضوع حاکی از آن است که یک XSLT مخرب میتواند توسط مهاجم بارگذاری شود که ممکن است منجر به اجرای کد از راه دور شود. این آسیبپذیری دارای شدت 8.0 در سیستم CVSS 3.1 میباشد و شناسه CVE-2023-46214 را به خود اختصاص داده است.
با مقایسه نسخههای وصله شده Splunk و نسخههای آسیبپذیر میتوان متوجه شد که تابع parse_xsl_file_and_validate به کدها اضافه شده که یک سند XSL را مورد بررسی قرار میدهد. کدی که قبلاً در تابع getJobAsset وجود داشته بدون هیچ تایید اعتباری اجرا میشده اما اکنون تنها در صورت بررسی موفق parse_xsl_file_and_validate، اجرا میشود:
بنابراین با انجام مراحل زیر میتوان به اجرای کد از راه دور دست یافت:
1. ساخت یک فایل XSL معتبر
2. بررسی نیازمندیهای رسیدن به قسمتی از کد که دارای آسیبپذیری است.
3. شناسایی endpoint آسیبپذیر
4. محل بارگذاری فایل قابل پیشبینی
5. علم به اینکه اسکریپت را کجا بنویسیم
6. اجرای اسکریپت
* شایان ذکر است که کد اکسپلویت این آسیبپذیری در حال حاضر منتشر شده است.
محصولات تحت تاثیر
• در سری 9.0 محصول Splunk Enterprise و در مؤلفه Splunk Web نسخههای 9.0.0 تا 9.0.6 آسیبپذیر هستند و در نسخه 9.0.7 آسیبپذیری برطرف شده است.
• در سری 9.1 محصول Splunk Enterprise و در مؤلفه Splunk Web نسخههای 9.1.0 تا 9.1.1 آسیبپذیر هستند و در نسخه 9.1.2 آسیبپذیری برطرف شده است.
• در نسخههای قبل از 9.1.2308 محصول Splunk Cloud و در مؤلفه Splunk Web این آسیبپذیری وجود دارد که در نسخه 9.1.2308 برطرف شده است.
توصیههای امنیتی
توصیه میگردد Splunk Enterprise را به نسخه 9.0.7 یا 9.0.7 بهروزرسانی نمایید. محصول Splunk Cloud نیز باید به نسخه 9.1.2308 بهروزرسانی شود.
منابع خبر:
[1] https://advisory.splunk.com/advisories/SVD-2023-1104
[2] https://www.cve.org/CVERecord?id=CVE-2023-46214
[3] https://blog.hrncirik.net/cve-2023-46214-analysis
[4] https://cybersecuritynews.com/splunk-rce-vulnerability/
[5] https://github.com/nathan31337/Splunk-RCE-poc/blob/main/CVE-2023-46214.py
[6] https://nvd.nist.gov/vuln/detail/CVE-2023-46214
- 118