کشف آسیب‌پذیری در Splunk Enterprise Security (ES)

Splunk Enterprise Security (ES) یک نرم‌افزار جهت امنیت اطلاعات و مدیریت رویداد (SIEM) می‌باشد که توسط Splunk Inc ارائه شده‌است. Splunk یک پلتفرم نرم‌افزاری است که جهت جستجو، نظارت و تجزیه و تحلیل داده‌های تولیدشده توسط ماشین طراحی شده‌است. Splunk Enterprise Security قابلیت‌های‌ پلتفرم Splunk را گسترش می‌دهد تا به‌طور خاص بر روی داده‌ها و رویدادهای مرتبط با امنیت تمرکزکند.
دو آسیب‌پذیری با شناسه‌های CVE-2024-22165 و CVE-2024-22164 و به ترتیب شدت‌های متوسط 6.5 و4.3 برای این نرم‌افزار کشف شده که جزئیات آن‌ها به شرح ذیل می‌باشد.
آسیب‌پذیری CVE-2024-22165 مربوط نسخه‌های قبل از 7.1.2 Splunk Enterprise Security (ES) می‌باشد که در آن مهاجم می‌تواند از پیوست‌های Investigation جهت اجرای یک حمله انکار سرویس (DoS) در Investigation بهره‌برداری کند. 
بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H) بهره‌برداری از طریق شبکه مجاور امکان‌پذیر نیست (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی پایین دارد (PR:L)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهره‌برداری از آن بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرد.
آسیب‌پذیری CVE-2024-22164 مربوط نسخه‌های قبل از 7.1.2 Splunk Enterprise Security (ES) می‌‌باشد که در آن مهاجم با یکsession  و دسترسی تأیید‌شده می‌تواند یکInvestigation  نادرست برای اجرای حمله انکار سرویس (DoS) ایجاد کند. این Investigation  نادرست، تولید و ارائهInvestigations manager  را تا زمانی که حذف نشود، مختل می‌کند.
بر اساس بردار حمله این آسیب‌پذیری(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L) بهره‌برداری از طریق شبکه مجاور امکان‌پذیر نیست (AV: N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی پایین دارد (PR:L)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت با شدت کمی تحت تأثیر قرار می‌گیرد.

محصولات تحت تأثیر
تمام نسخه‌های نرم‌افزار  Splunk Enterprise Security تا قبل از نسخه 7.1.2 در برابر نقص‌های امنیتی مذکور، آسیب‌پذیر هستند.

توصیه‌های امنیتی
نرم‌افزار  Splunk Enterprise Security (ES) را به نسخه های 7.1.2، 7.2.0، 7.3.0 یا بالاتر ارتقا دهید.

منابع خبر:

[1] https://advisory.splunk.com/advisories/SVD-2024-0101 
[2] https://advisory.splunk.com/advisories/SVD-2024-0101