PoC for Splunk Enterprise RCE flaw released (CVE-2023-46214)
2023/11/27 HelpNetSecurity — Splunk Enterprise に存在する、深刻なリモートコード実行の脆弱性 CVE-2023-46214 (CVSS:8.8) に対する PoC エクスプロイトが公開された。この製品を利用するユーザーに対して推奨されるのは、提供されているパッチまたは回避策への迅速な対応である。
CVE-2023-46214 について
Splunk Enterprise は、ビジネスのインフラやアプリケーションから生成される、各種のデータを取り込むソリューションである。それらのデータから提供される洞察により、組織のセキュリティ/コンプライアンス/アプリケーション展開/IT オペレーションなどの改善が効率化されていく。
この Splunk Enterprise の脆弱性 CVE-2023-46214 は、ユーザーが提供する拡張可能なスタイルシート言語変換 (XSLT) に対する、不完全なサニタイズに起因している。
同社は、「攻撃者による、悪意の XSLT アップロードにより、Splunk Enterprise インスタンス上でリモートコード実行が発生する可能性がある」と説明している。
Splunk のアドバイザリによると、Splunk Enterprise バージョン 9.0.0〜9.0.6 および 9.1.0〜9.1.1 に対して、脆弱性 CVE-2023-46214 は 影響を及ぼす。それらに対応する FIX バージョンは、9.0.7 と 9.1.2 となる。IT セキュリティの専門家であり、SANS ISC を管理する Bojan Zdrnja によると、すでにサポートが終了している Splunk v8.x にも影響が及ぶという。
同社は、「Splunk Cloud の 9.1.2308 未満のバージョンも影響が及ぶ。当社は、Splunk Cloud Platform インスタンスを積極的に監視し、パッチを適用している」と述べている。
CVE-2023-46214 PoC とリスク軽減策
ある研究者が、脆弱性 CVE-2023-46214 の詳細な分析を発表し、悪用に必要な手順を Python スクリプトに集約した。特定の前提条件が満たされた場合において、このスクリプトはリモートのコマンドプロンプトを開くはずだ。
この攻撃は、リモートから実行が可能なものであるが、事前の認証 (有効な認証情報の知識) と何らかのユーザー・インタラクションが必要になる。
管理者に対して推奨されるのは、インスタンスをバージョン 9.0.7/9.1.2 にアップグレードすることである。また、早期のアップグレードが不可能な場合には、検索ジョブリクエストが、有効な入力として XML スタイルシート言語 (XSL) を受け付けるように、制限 (web.conf 設定ファイルを変更する) すべきである。
Splunk は、「Splunk Enterprise の以前のバージョンでは、web.conf の仕様を確認し、enableSearchJobXslt 設定が可能/不可能について確認してほしい」とアドバイスしている。Splunk の脅威リサーチ・チームは、脅威ハンター・チーム向けとして、検出された情報を提供している。
Splunk Enterprise のリモートコード実行の脆弱性と、PoC エクスプロイト公開に関する記がですが、ずいぶんと素早い PoC ですね。この脆弱性の発見者と Splunk の間での調整が、上手くいかなかったのかもしれません。よろしければ、Splunk で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.