یک #‫بدافزار سرقت اطلاعات به نام Amadey از طریق backdoor دیگری به نام SmokeLoader در حال توزیع است.

جزئیات آسیب‌پذیری
محققان ASEC در گزارشی که به تازگی منتشر کردند، اعلام کرده‌اند که این حملات به فریب کاربران جهت دانلود بدافزار SmokeLoader وابسته است که به عنوان کرک‌های نرم‌افزار ظاهر می‌شود و راه را برای استقرار Amadey هموار می‌کند. Amadey یک بات‌نت است که اولین بار در اکتبر 2018 در فروم‌های زیرزمینی روسیه با قیمت 600 دلار پدیدار شد. این بات‌نت با هدف سرقت اطلاعات، گرفتن اسکرین‌شات، متاداده سیستم و حتی اطلاعات در مورد موتورهای آنتی ویروس و دیگر بدافزارهای نصب‌شده در دستگاه آلوده، مجهز شده است.
مهاجم از این بدافزار جهت سرقت اطلاعات از FileZilla، Pidgin، Total Commander FTP Client، RealVNC، TightVNC، TigerVNC و WinSCP سوءاستفاده می‌کند.

محصولات تحت تأثیر
این بدافزار با قابلیت‌های جدید خود برFileZilla, Pidgin, Total Commander FTP Client, RealVNC, TightVNC TigerVNC و WinSCP تأثیر گذاشته و منجر به سرقت اطلاعات آن‌ها توسط مهاجم خواهد شد. پیش‌تر نیز بدافزار مذکور اطلاعات را از روترهای Mikrotik و Microsoft Outlook به سرقت می‌برد.
به طور کلی هدف اصلی Amadey ، گسترش افزونه‌های اضافی و تروجان‌های دسترسی از راه دور مانند Remcos RAT و RedLine Stealer است که مهاجم را قادر می‌سازد تا پس از بهره‌برداری از آن، مجموعه‌ای از فعالیت‌های را جهت تخریب0020انجام دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود سیستم‌عامل و مرورگر وب نصب شده بر روی دستگاه خود را به آخرین نسخه‌های منتشر شده ارتقاء دهند تا تهدیدات احتمالی ناشی از این بدافزار را به حداقل برسانند، همچنین از استفاده از نرم‌افزارهای غیرقانونی نیز دوری کنند.

منبع خبر:

https://thehackernews.com/2022/07/smokeloader-infecting-targeted-systems.html

مهاجمان از یک نقص امنیتی ناشناخته در پلتفرم متن باز و رایگان فروشگاه‌ساز PrestaShop که جهت تزریق کد اسکیمر مخرب و سرقت اطلاعات حساس طراحی شده است، استفاده می‌کنند.

جزئیات آسیب‌پذیری
این #‫آسیب‌پذیری با شناسه CVE-2022-36408 به مهاجم اجازه خواهد داد تا از راه دور حملات خود را از طریق تزریق کد SQL انجام دهد. گفتنی است از آسیب‌پذیری مذکور در ماه جولای 2022 مورد بهره‌برداری قرار گرفت.
بهره‌برداری موفق از این نقص امنیتی مهاجم را قادر به ارسال درخواستی می‌کند که امکان اجرای دستورالعمل‌های دلخواه را با اهدافی همچون جمع‌آوری اطلاعات کارت بانکی از طریق درگاه پرداخت جعلی به او خواهد داد؛ در واقع در این حملات، مهاجمان کد مخربی را تزریق می‌کنند که قادر به سرقت اطلاعات کارت وارد شده توسط مشتریان در صفحه پرداخت اینترنتی است. به نظر می‌رسد فروشگاه‌هایی که از نسخه‌های قدیمی پرستاشاپ یا ماژول‌های آسیب‌پذیر استفاده می‌کنند، اهداف اصلی مهاجمان هستند.
شرکت توسعه‌دهنده PrestaShop اظهار داشت که مهاجمان راهی برای استفاده از یک آسیب‌پذیری امنیتی در این پلتفرم برای اجرای کد دلخواه در سرورهایی که وب سایت‌های PrestaShop را اجرا می‌کنند، یافته‌اند.
پرستاشاپ یک پلتفرم فروشگاه‌ساز رایگان است، که به کسب و کارهای کوچک و بزرگ کمک می‌کند تا یک فروشگاه آنلاین موفق را ایجاد و اجرا نمایند، این پلتفرم متن باز یا Open Source می‌باشد که بر اساس زبان برنامه نویسی php و پایگاه داده mySQL طراحی شده است. در حال حاضر نزدیک به 300.000 سایت فروشگاهی در سراسر جهان و 6000 فروشگاه در ایران از این پلتفرم استفاده می‌کنند. شایان ذکر است که حملات ناشی از این آسیب‌پذیری حداقل 311 رستوران را نیز در معرض خطر قرار داده است.

محصولات تحت تأثیر
این آسیب‌پذیری بر نسخه‌های 1.6.0.10 تا 1.7 (قبل از 1.7.8.2) پلتفرم PrestaShop تأثیر می‌گذارد.

توصیه‌های امنیتی
شرکت PrestaShop نقص امنیتی مذکور را در نسخه 1.7.8.7 پلتفرم PrestaShop رفع کرد و خاطر نشان شد این وصله امنیتی، حافظه کَش MySQL Smarty را در برابر حملات تزریق کد مقاوم می‌کند.
منابع خبر:

https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/
https://nvd.nist.gov/vuln/detail/CVE-2022-36408

شرکت امنیتی SonicWall به‌روزرسانی‌های امنیتی برای رفع نقص بحرانی تزریق کدSQL (SQLi) در محصولات Analytics On-Prem و Global Management System (GMS) منتشر کرد. این #‫آسیب‌پذیری با شناسه CVE-2022-22280 دارای شدت 9.4 می‌باشد و مهاجم پس از تزریق کد SQL می‌تواند بررسی‌های امنیتی را دور زده و یا جهت درج عبارات اضافی که منجر به تغییر back-end پایگاه داده خواهد شد از آن سوءاستفاده کند. به گفته‌ی کارشناسان امنیتی شرکت SonicWall، احتمال بهره‌برداری از این آسیب‌پذیری با بکارگیری Web Application Firewall (WAF) و انسداد تلاش‌های مخرب SQLi کاهش می‌یابد. محصولات Analytics On-Prem نسخه‌های 2520-2.5.0.3 و قبل‌تر و Global Management System (GMS) نسخه‌های Hotfix1-sp2-9.3.1 و قبل‌تر تحت تأثیر این آسیب‌پذیری هستند.
به سازمان‌هایی که از محصولات تحت تأثیر این آسیب‌پذیری استفاده می‌کنند توصیه می‌شود محصولات خود را به نسخه‌های زیر ارتقا دهند:

• Analytics 2.5.0.3-2520-Hotfix1
• GMS 9.3.1-SP2-Hotfix-2

منبع خبر:

https://thehackernews.com/2022/07/sonicwall-issues-patch-for-critical-bug.html

دروپال چهار #‫آسیب‌پذیری را در این سیستم مدیریت محتوای محبوب برطرف نموده است. این آسیب‌پذیری‌ها که طبق امتیازدهی دروپال دارای شدت "بحرانی" و "متوسط بحرانی" رتبه‌بندی شده‌اند، امکان اجرای کد دلخواه PHP، دور زدن دسترسی و افشای اطلاعات را برای مهاجم فراهم می‌کنند. لازم به ذکر است که دروپال به جای CVSS از سیستم امتیازدهی NIST Common Misuse Scoring System برای رتبه‌بندی آسیب‌پذیری‌ها استفاده کرده است که در آن شدت‌ها به صورت "کمتر بحرانی"، "متوسط بحرانی"، "بحرانی" و "بسیار بحرانی" دسته‌بندی می‌شوند.

جزئیات آسیب‌پذیری
مهم‌ترین این آسیب‌پذیری‌ها که شناسه‌ی CVE-2022-25277 به آن اختصاص داده شده است و دارای شدت "بحرانی" می‌باشد، نسخه‌های 9.3 و 9.4 دروپال را تحت تأثیر قرار می‌دهد. این نقص در هسته‌ی دروپال وجود دارد و می‌تواند با آپلود فایل‌های ساختگی منجر به اجرای کد دلخواه PHP در وب‌سرورهای آپاچی شود. دلیل این امر آن است که هسته‌ی دروپال به محض آپلود فایل، نام فایل‌ها را با پسوندهای خطرناکی پاک‌سازی می‌کند و نقطه‌های ابتدایی و انتهایی را از نام فایل‌ها حذف می‌کند تا از آپلود فایل‌های پیکربندی سرور جلوگیری کند. اما با این وجود، محافظت‌های ارائه‌شده برای این دو آسیب‌پذیری قبلاً به درستی باهم کار نمی‌کردند. در نتیجه، اگر سایت به گونه‌ای پیکربندی شده بود که امکان آپلود فایل‌های با پسوند htaccess وجود داشت، نام این فایل‌ها به درستی پاک‌سازی نمی‌شد و این موضوع می‌توانست امکان دور زدن حفاظت‌های ارائه‌شده توسط فایل‌های .htaccess پیش‌فرض هسته‌ی دروپال را فراهم کند و اجرای کد از راه دور در وب‌سرورهای آپاچی را منجر شود.
سه آسیب‌پذیری دیگر نیز که شدت "متوسط بحرانی" به آن‌ها اختصاص داده شده است، هسته‌ی دروپال را تحت تأثیر قرار می‌دهند و بهره‌برداری از آن‌ها می‌تواند منجر به حملات XSS، افشای اطلاعات و یا دور زدن دسترسی شود.

محصولات تحت تأثیر
سه مورد از آسیب‌پذیری‌های مذکور فقط نسخه‌های 9.3 و 9.4 دروپال را تحت تأثیر قرار می‌دهند و یک مورد علاوه بر نسخه‌های 9.3 و 9.4، دروپال 7 را نیز تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی

• در صورت استفاده از دورپال 9.3، آن را به نسخه‌ی 9.3.19 به‌روزرسانی نمایید.
• در صورت استفاده از دورپال 9.4، آن را به نسخه‌ی 9.4.3 به‌روزرسانی نمایید.
• در صورت استفاده از دروپال 7، آن را به نسخه‌ی 7.91 به‌روزرسانی نمایید.

منابع خبر:

https://www.drupal.org/security
https://securityaffairs.co/wordpress/133625/security/drupal-flaws-2.html

اخیراً یک باج‌افزار جدید به نام Luna توسط محققان Kaspersky Security شناسایی شده است و ادعا می‌شود که به زبان برنامه‌نویسی Rust نوشته شده است.

جزئیات آسیب‌پذیری
سیستم‌عامل‌های زیادی وجود دارند که می‌توانند با باج‌افزار Luna رمزگذاری شوند، از جمله: ویندوز، لینوکس و ESXi. ظاهراً Luna از طریق یک تبلیغ در یک انجمن باج‌افزار در دارک‌وب مشاهده شده است. به نظر می‌رسد که این باج‌افزار به گونه‌ای خاص طراحی شده است که تنها توسط هکرهای روسی زبان مورد استفاده قرار گیرد.
برخلاف سایر باج‌افزارها، گزینه‌های خط فرمان Luna بسیار ساده هستند و این برنامه هنوز در مراحل اولیه توسعه خود است. این را می‌توان به سادگی طراحی آن نسبت داد که قابلیت‌های برنامه را محدود می‌کند. برای ترکیب امنیت و سرعت بالا در این باج‌افزار، الگوریتم X25519 elliptic curve Diffie-Hellman و AES در پروتکل تبادل اصلی در این طرح استفاده شده است. در این روش، Curve25519 به عنوان یکی از اجزای عناصر اصلی، نقش حیاتی ایفا می‌کند. در این باج‌افزار، انتقال کد منبع به پلتفرم‌های مختلف با تغییرات نسبتاً کم، تنها چیزی است که مورد نیاز است.
همچنین محققان توانسته‌اند جزئیاتی در مورد باج‌افزار دیگری به نام Black Basta بدست آورند. این باج‌افزار از فوریه 2022 در دسترس بوده است اما به تازگی کشف شده است. در این باج‌افزار هر فایل رمزگذاری شده با پسوند . basta ذخیره می‌شود و یک فایل به نام readme.txt در هر پوشه ساخته می‌شود. علاوه بر این، باج‌افزار Black Basta می‌تواند با سیستم ویندوز در حالت امن، چندین راه‌حل امنیتی نقطه پایانی را دور بزند.

محصولات تحت تأثیر
کاربران ویندوز، لینوکس و ESXi تحت تأثیر این باج‌افزار قرار دارند.

توصیه‌های امنیتی
از آنجاییکه فعالیت باج‌افزار Luna به تازگی کشف شده است، در حال حاضر اطلاعات محدودی در مورد قربانیان این باج‌افزار در دسترس است اما این احتمال وجود دارد که کاربران بیشتری مورد حمله Luna قرار بگیرند.
منبع خبر:

https://gbhackers.com/hackers-attack-windows-linux-esxi-systems-using-rust-based-malware/

چندین ‫آسیب‌پذیری در داشبورد Nexus سیسکو افشا شده است که می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور دستورات دلخواه خود را اجرا کند، فایل‌های container image را بخواند یا بارگذاری کند و یا یک حمله CSRF را اجرا کند.
جزئیات آسیب‌پذیری
داشبورد Nexus به عنوان یک کلاستر مستقر شده است و هر گره سرویس را به دو شبکه متصل می‌کند:

• شبکه داده (fabric0, fabric1)
• شبکه مدیریت (mgmt0, mgmt1)

دامنه بهره‌برداری از این آسیب‌پذیری‌ها را می‌توان به رابط‌های شبکه‌ای محدود کرد. توضیحاتی که در ادامه خواهد آمد نشان می‌دهد که آیا شبکه داده، شبکه مدیریت یا هر دو شبکه در معرض آسیب‌پذیری هستند یا خیر.
آسیب‌پذیری‌ها به یکدیگر وابسته نیستند بدین معنی که بهره‌برداری از یکی از آنها ملزم به بهره‌برداری از آسیب‌پذیری‌های دیگر نیست. علاوه بر این، نسخه نرم‌افزاری که تحت تاثیر یکی از آسیب‌پذیری‌ها قرار می‌گیرد ممکن است تحت تاثیر آسیب‌پذیری‌های دیگر قرار نگیرد.

CVE-2022-20857: این آسیب‌پذیری با شدت بحرانی و CVSS Base Score 9.8 می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور به یک API خاص که در شبکه داده در حال اجرا است دسترسی داشته باشد و دستورات دلخواه را روی دستگاه آسیب‌دیده اجرا کند. آسیب‌پذیری مذکور، به دلیل کنترل‌های دسترسی ناکافی برای یک API خاص به وجود آمده است. یک مهاجم با ارسال درخواست‌های جعلی HTTP به این API آسیب‌پذیر، از این آسیب‌پذیری بهره‌برداری می‌کند. یک بهره‌برداری موفق مهاجم را قادر می‌سازد تا دستورات دلخواه خود را به عنوان کاربر روت در هر pod روی یک گره اجرا کند.
CVE-2022-20861: این آسیب‌پذیری با شدت بالا و CVSS Base Score 8.8، در رابط کاربری وب که در شبکه مدیریت داشبورد Nexus در حال اجراست، وجود دارد و می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور یک حمله CSRF را بر روی دستگاه آسیب‌دیده اجرا کند.
آسیب‌پذیری مذکور، به دلیل محافظت ناکافی در برابر حمله CSRF در رابط کاربری وب در یک دستگاه آسیب‌پذیر اتفاق میافتد. مهاجم می‌تواند با متقاعد کردن کاربر administrator برای کلیک کردن بر روی یک لینک مخرب، از این آسیب‌پذیری سوءاستفاده کند. یک بهره‌برداری موفق به مهاجم اجازه می‌دهد تا اقداماتی را با دسترسی‌های کاربر Administrator انجام دهد.
CVE-2022-20858: این آسیب‌پذیری با شدت بالا و CVSS Base Score 8.2، به بک مهاجم احراز هویت نشده اجازه می‌دهد تا از راه دور به سرویسی که در شبکه‌های داده و مدیریت دستگاه آسیب‌دیده در حال اجراست دسترسی پیدا کند.
آسیب‌پذیری مذکور به دلیل کنترل‌های دسترسی ناکافی برای سرویسی که container imagesها را مدیریت می‌کند اتفاق میافتد. مهاجم قادر است با باز کردن یک اتصال TCP به این سرویس آسیب‌پذیر، از این نقص سوءاستفاده کند. پس از یک بهره‌برداری موفق، مهاجم خواهد توانست container imagesها را دانلود کند یا container imagesهای مخرب را در دستگاه آسیب‌دیده آپلود کند.
این آسیب‌پذیری‌ها داشبورد Nexus را تحت تاثیر قرار می‌دهند.
توجه: برای نسخه‌های قبل از 2.0(1d)، داشبورد Nexus به عنوان Application Services Engine شناخته می‌شد.
در جدول زیر لیست نسخه‌های آسیب‌پذیر داشبورد Nexus و اولین نسخه وصله شده آورده شده است. به کاربران توصیه می‌شود نرم‌افزار خود را به یک نسخه وصله شده ارتقاء دهند.
 

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y

آسیب‌پذیری CVE-2022-28615 در وب سرور Apache
وب سرور آپاچی در نسخه 2.4.53 و نسخه‌های قبل از آن، دارای یک آسیب‌پذیری بحرانی (9.1 از10) می‌باشد. منشأ این آسیب‌پذیری تابع ap_strcmp_match() می‌باشد. در صورتی که در فراخوانی این تابع، پارامترهای ورودی، بسیار بزرگ باشند، سرریز عدد صحیح اتفاق می‌افتد که به نوبه‌ی خود، منجر به آسیب‌پذیری "خواندن خارج از محدوده " می‌شود. اگر چه هیچ کد توزیع شده با سرور httpd را نمی‌توان مجبور به این فراخوانی کرد، با این حال، ماژول‌های third-party یا اسکریپت‌های Lua که از تابع ap_strcmp_match() استفاده می‌کنند، به طور بالقوه می‌توانند تحت تأثیر این آسیب‌پذیری قرار گیرند.
جدول زیر مشخصات آسیب‌پذیری را نشان می‌دهد:

برای رفع آسیب‌پذیری، نسخه‌های آسیب‌پذیری را به 2.4.54 ارتقا دهید

منابع خبر:

https://access.redhat.com/security/cve/cve-2022-28615
https://nvd.nist.gov/vuln/detail/CVE-2022-28615#range-8121002
https://vuldb.com/?id.201527

محققان Wordfence در خصوص افزایش ناگهانی حملات سایبری و تلاش برای بهره‌برداری از یک نقص امنیتی وصله نشده در یک افزونه وردپرس به نام Kaswara Modern WPBakery Page Builder Addons به کاربران هشدار دادند.
جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه CVE-2021-24284 دارای شدت بحرانی (10) می‌باشد. آسیب‌پذیری مذکور مربوط به آپلود یک فایل دلخواه تایید نشده است و به مهاجمان اجازه می دهد پس از اجرای کد مخرب دلخواه، کنترل سایت‌های وردپرس آسیب‌دیده را در دست بگیرد. اگرچه این نقص امنیتی در ابتدا در ماه آوریل 2021 توسط شرکت امنیتی وردپرس فاش شد، اما این مشکل تا به امروز رفع نشده است.
Wordfence از بیش از 1000 وب‌سایتی که این افزونه را نصب کرده‌اند محافظت کرده و از ابتدای ماه به طور متوسط روزانه 443868 حمله را مسدود کرده است. تخمین زده می‌شود که بین 4000 تا 8000 وب‌سایت مختلف این افزونه را نصب کرده‌اند و کاربران در تلاشند تا آن را از سایت‌های وردپرس خود حذف کنند تا حملات احتمالی را خنثی و سپس جایگزین مناسبی برای آن پیدا کنند.
 

این حملات از 10215 آدرس IP سرچشمه گرفته است که تلاش‌‎ها جهت بهره‌برداری از آن، محدود به 10 آدرس IP می‌باشد. به نظر می‌رسد هدف این کمپین، درج کدهای مخرب دلخواه در فایل‌های جاوا اسکریپت قانونی و هدایت بازدیدکنندگان سایت به وب‌سایت‌های مخرب است.
محصولات تحت تأثیر
سایت‌های وردپرسی که از افزونه‌ی صفحه‌ساز استفاده می‌کنند تحت تأثیر این آسیب‌پذیری قرار دارند.
توصیه‌های امنیتی
تمام مشتریان Wordfence از 21 می 2021 توسط Wordfence Firewall از این حمله محافظت می‌شوند، اما اکیداً به کاربران توصیه می‌شود در اسرع وقت افزونه‌های Kaswara Modern WPBakery Page Builder را به طور کامل حذف و جایگزین مناسبی برای آن پیدا کنند؛ زیرا بعید است که اخیرأ برای این افزونه وصله‌ی امنیتی منتشر شود.

منابع خبر:

https://thehackernews.com/2022/07/experts-notice-sudden-surge-in.html
https://www.wordfence.com/blog/2022/07/attacks-on-modern-wpbakery-page-builder-addons-vulnerability/

بدافزار جدیدی به نامAutolycos که در داخل اپلیکیشن‌های اندرویدی مخفی می‌شود پیدا شده است. اپلیکیشن‌های آلوده به این بدافزار حدود ۳ میلیون بار دانلود شده‌اند.
جزئیات آسیب‌پذیری
این بدافزار توسط یک کارشناس امنیت سایبری به نام Maxime Ingrao از موسسه Evina کشف شده است. بدافزار Autolycos تاکنون در ۸ اپلیکیشن اندرویدی در فروشگاه گوگل‌پلی پیدا شده است که این اپلیکیشن‌ها در مجموع ۳ میلیون بار توسط کاربران دانلود ‌شده‌اند. این بدافزار به جای استفاده از Android Webview، URLها را در مرورگر راه دور اجرا می‌کند که شامل نتیجه درخواست‌های HTTP می‌شود. به عقیده کارشناسان این موضوع باعث می‌شود فعالیت‌های این بدافزار مورد توجه قرار نگیرد و بنابراین توسط قربانیان، شناسایی نشود. به طور کلی، اپلیکیشن‌های مخرب پس از نصب بر روی دستگاه، مجوز خواندن پیامک کاربران را درخواست می‌کنند می‌توانند به محتوای پیامک‌های قربانی دسترسی داشته باشند.

محصولات تحت تأثیر
تاکنون ۶ اپلیکیشن‌ آلوده از فروشگاه گوگل‌پلی حذف شده‌اند، اما ۲ اپلیکیشن دیگر یعنی " Funny Camera " توسعه یافته توسط KellyTech با بیش از 500 هزار دانلود و " Razer Keyboard & Theme " توسعه یافته توسط rxcheldiolola با بیش از 50 هزار دانلود، همچنان در فروشگاه گوگل‌پلی وجود دارند. 6 اپلیکیشن آلوده که از فروشگاه گوگل‎پلی حذف شده‌اند عبارتند از:

• Vlog Star Video Editor (با یک میلیون دانلود)
• Creative 3D Launcher (با یک میلیون دانلود)
• Wow Beauty Camera (با صد هزار دانلود)
• Gif Emoji Keyboard (با صد هزار دانلود)
• Freeglow Camera 1.0.0 (با پنج هزار دانلود)
• Coco Camera v1.1 (با هزار دانلود)

توصیه‌های امنیتی
به کاربران توصیه می‌شود در صورتی که یکی از این اپلیکیشن‌های آلوده را بر روی گوشی خود نصب کرده‌اند هر چه سریع‌تر آنها را از تلفن همراه خود حذف کنند، یک آنتی ویروس مناسب بر روی گوشی خود نصب کنند، Play Protect را فعال نگه دارند و سعی کنند تعداد برنامه‌هایی که بر روی گوشی خود نصب می‌کنند را کاهش دهند.
منبع خبر:

https://gbhackers.com/android-malware-on-the-google-play-store/

یک ‫آسیب‌پذیری بحرانی با شناسه CVE-2022-32158 و شدت 10 از 10 در محصول Splunk-Enterprise-Deployment-Server نسخه پیش از 9.0 وجود دارد که بهره‌برداری از آن می‌تواند منجر به اجرای کد از راه دور در کلیه نقاط پایانی Universal-Forwarder که بخشی از Deployment-Server هستند، توسط مهاجم شود.
مفهوم Splunk-Enterprise-Deployment-Server به یک سرور Splunk-Enterprise اشاره دارد که برای تعدادی از کلاینت‌ها که Deployment-Clients نامیده می‌شوند، به عنوان مدیر پیکربندی متمرکز عمل می‌کند.
آسیب‌پذیری مذکور مربوط به ارسال داده‌های Universal در اسپلانک است و از این روش برای ارسال داده‌های ضروری میان Splunk-Enterpriseهای مختلف استفاده می‌شود. با استفاده از این آسیب‌پذیری، به کلاینت‌ها امکان ارسال بسته‌های Forwarder به سایر کلاینت‌ها از طریق Deployment-Server داده می‌شود (در نسخه‌های پیش از 8.1.10.1، 8.2.6.1 و 9.0).
در حال حاضر تنها راه وصله کردن این آسیب‌پذیری به‌روزرسانی Splunk-Enterprise-Deployment-Servers به نسخه 9.0 است.
منابع:

https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html
https://nvd.nist.gov/vuln/detail/CVE-2022-32158
https://cve.report/CVE-2022-32158
https://www.tenable.com/cve/CVE-2022-32158
https://community.splunk.com/t5/Getting-Data-In/vulnerability-CVE-2022-32158-16-06-2022-versions-be…
https://www.cve.org/CVERecord?id=CVE-2022-32158
https://vuldb.com/?id.202139