Splunk Patches High-Severity Flaws in Enterprise, IT Service Intelligence
2023/08/31 SecurityWeek — 8月30日 (水) に Splunk が発表したのは、Splunk Enterprise および IT Service Intelligence に存在する、複数の深刻度の高い脆弱性 (サードパーティ製パッケージの欠陥を含む) に対するパッチである。今月に Splunk Enterprise が解決したバグの中で、最も深刻な脆弱性は CVE-2023-40595 (CVSS:8.8) であり、細工されたクエリを介した、リモート・コード実行の問題だと説明されている。
Splunk のアドバイザリには、「この脆弱性を悪用するためには、Splunk Enterprise にファイルを書き込むための、collect SPL コマンドの使用が必須である。続いて攻撃者は、このファイルを用いてシリアライズされたペイロードを送信し、ペイロード内のコードを実行できる」と説明されている。
2つ目の脆弱性 CVE-2023-40598 は、レガシーな内部関数に影響を及ぼすコマンド・インジェクションの欠陥であり、それが悪用されると、任意のコード実行にいたる恐れがある。
Splunk は、「この脆弱性は、スクリプト化されたアラート・アクションが使用する、現在非推奨の runshellscript コマンドに関連している。このコマンドと外部コマンドの lookups により、この脆弱性の悪用に成功した攻撃者は、Splunk プラットフォーム・インスタンスから特権コンテキストでコマンドを注入/実行できる」と説明している。
最新の Splunk Enterprise リリースでは、クロス・サイト・スクリプティング (XSS) の脆弱性 CVE-2023-40592 と、コード実行につながる絶対パストラバーサルの脆弱性 CVE-2023-40597、そして、DLL の安全でないパス参照に起因する特権昇格の問題の脆弱性 CVE-2023-40596 も解決されている。
すべての脆弱性は、Splunk Enterprise バージョン 8.2.12/9.0.6/9.1.1 のリリースで対処され、2つの Medium 深刻度のサービス拒否 (DoS) の欠陥も修正された。
Splunk は、IT Service Intelligence に存在する、未認証でのログ・インジェクションの脆弱性 CVE-2023-4571 (CVSS:8.6) に対するパッチも発表した。
この脆弱性の悪用に成功した攻撃者は、ログ・ファイルへの ANSI エスケープ・コードの注入が可能になる。注入されたコードは、ログ・ファイルが脆弱な端末アプリケーションで読み取られた際に実行される。
IT Service Intelligence は、この脆弱性による直接的な影響は受けない。しかし、端末アプリケーションが持つ権限や、悪意のログ・ファイルをユーザーが読むときの状況により、間接的な影響が生じる可能性がある。Splunk は、IT Service Intelligence のバージョン 4.13.3/4.15.3 で、この脆弱性にパッチを適用した。
Splunk は、これらの脆弱性の攻撃での悪用については言及していない。バグに関する追加情報は、同社のセキュリティ・アドバイザリ・ページで確認できる。
Splunk が 8月30日に発表したアップデートでは、Splunk Enterprise/IT Service Intelligence/Universal Forwarder で使用されているサードパーティ・パッケージの、複数の深刻な脆弱性も解決されている。
Splunk の Enterprise/IT Service Intelligence で、複数の脆弱性が修正されたとのことです。その中でも、ログ・インジェクションというのは、Splunk らしい脆弱性ですね。関連記事としては、2023/02/15 の「Splunk Enterprise の複数の深刻な脆弱性が FIX:早急なパッチ適用が推奨されている」がありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.