نیماد

سه آسیب‌پذیری خطرناک در Splunk

سه آسیب‌پذیری خطرناک در پلتفرم Splunk کشف شد!

Splunk، پلتفرم محبوب جمع‌آوری، مدیریت و تحلیل لاگ‌ها و داده‌های سیستمی، اخیراً با سه آسیب‌پذیری جدی مواجه شده که می‌تواند امنیت اطلاعات سازمان‌ها را به شدت به خطر بیندازد.

آسیب‌پذیری اول با امکان تزریق دستور در بخش External Lookups، به مهاجمان اجازه می‌دهد تا کدهای مخرب را در سرور Splunk اجرا کنند. این امر با سوء استفاده از دستور “runshellscript” و شناسه CVE-2024-36983 و شدت 8.0 قابل انجام است.

آسیب‌پذیری دوم نوع Denial of Service (DoS) را در بخش REST API Splunk ایجاد می‌کند. مهاجم می‌تواند با استفاده از یک مرجع اشاره‌گر null در نقطه پایانی REST به نام “cluster/config”، Splunk را از کار بیندازد. این آسیب‌پذیری با شناسه CVE-2024-36982 و شدت 7.5 شناخته می‌شود.

آسیب‌پذیری سوم خطرناک‌تر بوده و امکان تزریق کد از راه دور را در Splunk Web فراهم می‌کند. مهاجم با فریب سیستم و ارسال یک query تقلبی، می‌تواند کدهای مخرب را اجرا و به طور کامل بر Splunk تسلط یابد. این آسیب‌پذیری با شناسه CVE-2024-36984 و شدت 8.8 ثبت شده است.

محصولات تحت تاثیر:

  • Splunk Enterprise: نسخه 9.0.0 تا 9.0.9، 9.1.0 تا 9.1.4 و 9.2.0 تا 9.2.1
  • Splunk Cloud Platform: نسخه 9.1.2312.100 تا 9.1.2312.108 و قبل از 9.1.2308.207

توصیه‌های امنیتی:

  • به‌روزرسانی فوری: به‌روزرسانی Splunk Enterprise و Splunk Cloud Platform به آخرین نسخه موجود.
  • نظارت مداوم: رصد و مانیتورینگ مداوم سیستم‌ها برای شناسایی هرگونه فعالیت مشکوک.
  • محدودسازی دسترسی‌ها: بررسی و محدود کردن دسترسی کاربران به External Lookups.
  • آزمون نفوذ دوره‌ای: انجام تست‌های نفوذ برای یافتن و رفع سایر آسیب‌پذیری‌های احتمالی.

اقدام فوری برای به حداقل رساندن خطرات ضروری است!

منابع خبر:

[1] https://advisory.splunk.com/advisories/SVD-2024-0703  
[2] https://advisory.splunk.com/advisories/SVD-2024-0702
[3] https://advisory.splunk.com/advisories/SVD-2024-0704
[4] https://cybersecuritynews.com/multiple-flaws-splunk-enterprise/

پیمایش به بالا