Splunk Enterprise 多个远程代码执行漏洞
摘要
Splunk 在 Splunk Enterprise 和 Splunk Cloud Platform 中披露了多个高危漏洞,攻击者可以利用这些漏洞在易受攻击的系统上执行远程代码。这些漏洞,包括 CVE-2024-45733、CVE-2024-45731 和 CVE-2024-45732,构成了严重的安全风险,需要立即关注。
除了远程代码执行漏洞外,Splunk 还修复了 AWS 附加组件中使用的第三方包(idna、certifi)中的漏洞。
受影响系统和/或应用
- Splunk Enterprise for Windows:版本 9.3.0、9.2.0 至 9.2.2、9.1.0 至 9.1.5
- Splunk Cloud Platform:组件 SplunkDeploymentServerConfig – 版本低于 9.1.2308.207、9.1.2312.100 至 9.1.2312.109、9.2.2403.102 至 9.2.2403.102
- Splunk Cloud Platform:组件 Splunkd – 版本 9.2.2403.100 至 9.2.2403.106、9.1.2312.200 至 9.1.2312.203、低于 9.1.2312.111
- Splunk Cloud Platform:组件 Splunk Web – 版本 9.2.2403.100 至 9.2.2403.107、低于 9.1.2312.204
- Splunk Secure Gateway:版本 3.6.0 至 3.6.16、低于 3.4.259
技术细节 / 攻击概述
关键远程代码执行(RCE)漏洞需要立即行动
两个主要漏洞,CVE-2024-45731 和 CVE-2024-45733,可能允许攻击者在受影响的系统上执行远程代码。CVE-2024-45731 影响安装在单独磁盘上的 Windows 环境中的 Splunk,使攻击者能够将恶意 DLL 放入根目录。CVE-2024-45733 与版本低于 9.2.3 和 9.1.6 中的不安全会话存储相关。
低权限用户的威胁
多个漏洞,如 CVE-2024-45732,授予低权限用户过多访问权限,例如运行未经授权的搜索和暴露敏感数据。其他漏洞允许查看主机映像、崩溃守护程序以及操纵 App Key Value Store 设置。
信息泄露和 XSS 问题
Splunk 还解决了与信息泄露(CVE-2024-45738、CVE-2024-45739)和跨站脚本(CVE-2024-45740、CVE-2024-45741)相关的漏洞,这些漏洞可能暴露敏感数据或启用恶意脚本注入。
以下是披露的漏洞完整列表:
| SVD | 日期 | 标题 | 严重性 | CVE |
|---|---|---|---|---|
| SVD-2024-1012 | 2024-10-14 | Splunk Enterprise 中的第三方包更新 – 2024 年 10 月 | 高 | |
| SVD-2024-1011 | 2024-10-14 | 通过 props.conf 在 Splunk Enterprise 上的持久性跨站脚本(XSS) | 中 | CVE-2024-45741 |
| SVD-2024-1010 | 2024-10-14 | 通过 Splunk Enterprise 上的计划视图进行持久性跨站脚本(XSS) | 中 | CVE-2024-45740 |
| SVD-2024-1009 | 2024-10-14 | AdminManager 日志通道中的敏感信息泄露 | 中 | CVE-2024-45739 |
| SVD-2024-1008 | 2024-10-14 | REST_Calls 日志通道中的敏感信息泄露 | 中 | CVE-2024-45738 |
| SVD-2024-1007 | 2024-10-14 | 通过跨站请求伪造更改 App Key Value Store(KVStore)的维护模式状态 | 中 | CVE-2024-45737 |
| SVD-2024-1006 | 2024-10-14 | 格式错误的 ‘INGEST_EVAL’ 参数导致 Splunk 守护程序崩溃 | 中 | CVE-2024-45736 |
| SVD-2024-1005 | 2024-10-14 | Splunk Secure Gateway App 中低权限用户的访问控制不当 | 中 | CVE-2024-45735 |
| SVD-2024-1004 | 2024-10-14 | 低权限用户可以通过 Splunk Web 中的 PDF 导出功能查看主机上的图像 | 中 | CVE-2024-45734 |
| SVD-2024-1003 | 2024-10-14 | 由于 Splunk Enterprise 中的不安全会话存储配置导致的远程代码执行(RCE) | 高 | CVE-2024-45733 |
| SVD-2024-1002 | 2024-10-14 | 低权限用户可以在 SplunkDeploymentServerConfig 应用中以 nobody 身份运行搜索 | 高 | CVE-2024-45732 |
| SVD-2024-1001 | 2024-10-14 | 通过任意文件写入 Windows 系统根目录导致的潜在远程命令执行(RCE) | 高 | CVE-2024-45731 |
建议
立即升级:
- Splunk Enterprise:升级到 9.3.1、9.2.3 或 9.1.6 或更高版本。
- Splunk Cloud Platform:确保您的实例已由 Splunk 打补丁。
缓解措施:
- 在易受攻击的系统上禁用 Splunk Web。
- 修改 SplunkDeploymentServerConfig 应用中的访问权限。
- 避免将 Splunk 安装在系统驱动器以外的单独磁盘上。
附加信息:
Splunk 还解决了 AWS 附加组件中使用的第三方包(idna、certifi)中的漏洞。
所需行动:
立即应用补丁并审查安全设置以防止利用。
检测:
为了检测与 CVE-2024-45731 和 CVE-2024-45733 相关的潜在利用,Splunk 发布了相应的关联搜索:检测:通过任意文件写入 Windows 系统根目录的 Splunk RCE | Splunk 安全内容。
CFC 正在做什么?
CFC 将立即识别并修补受影响的版本以减轻潜在攻击。我们将继续监控情况,并在需要时发送咨询更新。