Vysoko závažná zraniteľnosť v Splunk Enterprise

Spoločnosť Splunk vydala opravy zraniteľností v Splunk Enterprise vrátane chyby s vysokou závažnosťou, ktorá ovplyvňuje inštancie systému Windows. Úspešné zneužitie môže umožňovať odmietnutie služby alebo vykonávanie ľubovoľného kódu.

Zraniteľné systémy:

  • Splunk Enterprise pre Windows 9.0- Splunk Web 9.0.0 až 9.0.7
  • Splunk Enterprise pre Windows 9.1- Splunk Web 9.1.0 až 9.1.2

Opis činnosti:

CVE-2024-23678 (CVSS skóre 7,8)

Vysoko závažná zraniteľnosť CVE-2023-23678 sa týka len nástroja Splunk Enterprise pre Windows a nachádza sa v komponente Splunk Web. Chyba súvisí s nesprávnou sanitizáciou cesty k súboru, v ktorom sú uložené serializované dáta a preto môže viesť k deseralizácii nedôveryhodných údajov z disku (cesta môže byť útočníkom podvrhnutá). Deserializácia je proces transformácie uložených dát do objektov, s ktorými dokáže program pracovať. Úspešné zneužitie môže viesť k zneprístupneniu služby (angl. Denial of Service) alebo ľubovoľné vykonávanie kódu.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vykonávanie ľubovoľného kódu
  • Odmietnutie služby (DoS)

Odporúčania:

Bezodkladná aktualizácia Splunk Enterprise pre Windows na verzie 9.0.8 a 9.1.3 alebo novšie. Pokiaľ sa používatelia neprihlasujú do služby Splunk Web v distribuovanom prostredí, odporúčame vypnúť službu Splunk na týchto inštanciách.

Odkazy:

  1. https://nvd.nist.gov/vuln/detail/CVE-2024-23678
  2. https://www.securityweek.com/high-severity-vulnerability-patched-in-splunk-enterprise/
  3. https://advisory.splunk.com/advisories/SVD-2024-0108
  4. https://hazelcast.com/glossary/deserialization/