Viacero zraniteľností v Splunk Enterprise
Spoločnosť Splunk vydala bezpečnostné aktualizácie na opravu 5 závažných zraniteľností v softvéri Splunk Enterprise. Tieto zraniteľnosti by mohli viesť k eskalácii oprávnení, prístupu cez adresár (path traversal), lokálnej eskalácii oprávnení, odmietnutia poskytovania služieb/nedostupnosť služieb DDoS (denial of service) alebo rozdeľovaniu HTTP odozvy (HTTP response splitting).
Zraniteľné systémy:
Splunk Enterprise verzie staršie ako 9.0.5, 8.2.11 a 8.1.14
Splunk Cloud Platform verzie staršie ako 9.0.2303.100
Splunk Lookup File Editor verzie staršie ako 4.0.1
Splunk App for Stream verzie staršie ako 8.1.1
Opis činnosti:
CVE-2023-32706 (CVSS skóre 7,7)
Zraniteľnosť umožňuje neautentifikovanému útočníkovi spôsobiť nedostupnosť služby démona Splunk pomocou špeciálne vytvorených správ do XML analyzátora v rámci autentifikácie SAML (Security Assertion Markup Language). Nesprávne nakonfigurovaný XML analyzátor prijme XML vstup obsahujúci odkaz na rozširovanie entity. Viacero rekurzívnych odkazov na rozširovanie entít môže spôsobiť, že XML analyzátor použije všetku dostupnú pamäť zariadenia, čo má za následok pád démona Splunk alebo vynútenie jeho ukončenia operačným systémom.
CVE-2023-32707 (CVSS skóre 8,8)
Nízko privilegovaný používateľ s právom úpravy požívateľov (edit_user) je schopný eskalovať svoje oprávnenia na úroveň administrátora prostredníctvom špeciálne upravenej webovej požiadavky. Funkcia edit_user neberie do úvahy parameter grantableRoles v konfiguračnom súbore authorize.conf, ktoré má za úlohu zabrániť tomuto scenáru.
CVE-2023-32708 (CVSS skóre 7,2)
Nízko privilegovaný používateľ môže zneužiť zraniteľnosť v protokole HTTP pomocou príkazu SPL (Search Processing Language) „rest“, čo mu umožní pristupovať k ľubovoľným koncovým bodom REST (Representational state transfer) v systéme, vrátane zobrazenia obmedzeného obsahu.
CVE-2023-32713 (CVSS skóre 7,8)
Nízko privilegovaný používateľ má možnosť zvýšiť svoje oprávnenia na zariadení, na ktorom je spustená inštancia Splunk Enterprise, až na úroveň root.
CVE-2023-32714 (CVSS skóre 8,1)
Zraniteľnosť môže zneužiť nízko privilegovaný používateľ s prístupom do aplikácie Splunk na upravovanie súborov, App for Lookup File Editing. Získa tak možnosť prechádzať adresármi pomocou špeciálne vytvorenej webovej požiadavky, ktorá umožňuje útočníkovi čítanie a zapisovanie do oblasti s obmedzeným prístupom inštalačného adresára Splunk.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Únik informácií
- Nedostupnosť služby (DoS)
- Zvýšenie oprávnení
Odporúčania:
Odporúčame bezodkladnú aktualizáciu Splunk Enterprise aspoň na verziu 9.0.5, 8.2.11 alebo 8.1.14, Splunk Cloud Platform na 9.0.2303.100, Splunk Lookup File Editor na 4.0.1 a Splunk App for Stream na 8.1.1.
Odkazy:
https://www.cert.europa.eu/static/SecurityAdvisories/2023/CERT-EU-SA2023-034.pdf
https://nvd.nist.gov/vuln/detail/CVE-2023-32706
https://nvd.nist.gov/vuln/detail/CVE-2023-32707
https://nvd.nist.gov/vuln/detail/CVE-2023-32708