Splunk Enterprise: Анализ 12 уязвимостей, позволяющих удаленное выполнение кода

Компания Splunk, лидер в сфере аналитики данных и мониторинга, раскрыла 12 свежих уязвимостей в своём продукте Splunk Enterprise для Windows, позволяющих злоумышленникам удалённое выполнение кода (RCE).

14 октября 2024 года компания опубликовала серию уведомлений о безопасности, описывающих выявленные проблемы. Все они были классифицированы как высокоопасные, поскольку могут серьёзно нарушить целостность и защиту уязвимых систем.

В числе выявленных уязвимостей Splunk Enterprise:

• SVD-2024-1012 — уязвимости в пакетах сторонних производителей.
• CVE-2024-45731 — возможность выполнения произвольных команд через запись файлов в корневой каталог системы Windows, если Splunk установлен на отдельном диске.
• CVE-2024-45732 — низкопривилегированный пользователь может запускать поисковые запросы в приложении SplunkDeploymentServerConfig.
• CVE-2024-45733 — удалённое выполнение кода (RCE) из-за неправильной конфигурации хранения сессий в Splunk Enterprise на Windows.
• CVE-2024-45734 — просмотр изображений на хост-машине через функцию экспорта PDF в Splunk Classic Dashboard пользователями с низкими привилегиями.
• CVE-2024-45735 — недостаточный контроль доступа для низкопривилегированных пользователей в приложении Splunk Secure Gateway.
• CVE-2024-45736 — крах Splunk Daemon из-за некорректно отформатированного параметра «INGEST_EVAL».
• CVE-2024-45737 — изменение состояния режима обслуживания App Key Value Store через атаку межсайтовой подделки запросов (CSRF).
• CVE-2024-45738 — утечка конфиденциальной информации через журналы в канале логирования REST_Calls.
• CVE-2024-45739 — раскрытие конфиденциальной информации через журналы в канале логирования AdminManager.
• CVE-2024-45740 — межсайтовый скриптинг (XSS) через запланированные представления в Splunk Enterprise.
• CVE-2024-45741 — уязвимость межсайтового скриптинга (XSS) через файл конфигурации props.conf в Splunk Enterprise.

Все вышеперечисленные уязвимости открывают возможность злоумышленникам получить несанкционированный доступ, выполнять произвольные команды или нарушать работу сервисов, что может привести к утечке данных или сбоям в работе систем.

Splunk настоятельно рекомендует пользователям немедленно исправить свои установки для устранения выявленных уязвимостей. Для этого необходимо установить обновления до следующих версий: 9.3.0, 9.2.3, или 9.1.6, в зависимости от используемой версии Splunk Enterprise.

Кроме того, помимо Splunk Enterprise некоторые уязвимости также затрагивают другие продукты компании, включая Splunk Cloud Platform (CVE-2024-45732, CVE-2024-45736, CVE-2024-45737, CVE-2024-45740, CVE-2024-45741) и Splunk Secure Gateway (CVE-2024-45735). Актуальные безопасные версии этих продуктов рекомендуется посмотреть отдельно.

В дополнение к установке обновлений, компании, использующие продукты Splunk, должны пересмотреть свои настройки безопасности, чтобы минимизировать риски эксплуатации уязвимостей. Также рекомендуется обращаться в службу поддержки Splunk для получения дополнительной информации или решения возникших вопросов.