Splunk Patches Vulnerabilities in Enterprise Product
2023/03/28 SecurityWeek —3月27日 (水) に Splunk は、Enterprise 製品向けのセキュリティ・パッチを発表したが、その中には深刻度 High の脆弱性も含まれる。Splunk Enterprise がパッチを適用した、2件の深刻度の高い脆弱性については、個別のアドバイザリが公開されている。そのうちの1つである、脆弱性 CVE-2024-29946 は、Splunk Dashboard Studio アプリの Dashboard Examples Hub に影響すものであり、リスクの高い SPL (Search Processing Language) コマンドの保護のバイパスのために悪用される可能性がある。
Splunk は、「それにより攻撃者は、ハブ内の高度な特権を持つユーザーの権限で、危険なコマンドに対する SPL セーフガードをバイパスする可能性を持てる。ただし、この脆弱性を利用する前提として、攻撃者は被害者を騙して、Web ブラウザ内でリクエストを開始させるための、フィッシングを行う必要がある」と指摘している。
2つ目の脆弱性 CVE-2024-29945 は、トークンの検証プロセス中に、認証トークンが暴露される可能性を持つものだ。Splunk は、「この暴露は、Splunk Enterprise がデバッグモードで実行されている場合、あるいは、JsonWebToken コンポーネント活動が DEBUG ロギングレベルでログに記録される場合に発生する可能性がある。通常において、Splunk Enterprise はデバッグモードとトークン認証を OFF にした状態で実行される。また、JsonWebToken プロセスは、INFO ロギング・レベルで設定されている」と述べている。
Splunk は、この脆弱性を悪用する攻撃者は、ログファイルへのローカルアクセスもしくは、内部インデックスへの管理者アクセスが必要だと指摘している。
これらの脆弱性に対しては、それぞれパッチ/緩和策/回避策が用意されている。
さらに Splunk は、Curl/OpenSSL/Go/PyWin32/Apache Hive/FasterXML の Jackson などの、サードパーティ・パッケージの使用により、Splunk Enterprise/Universal Forwarder にもたらされる、いくつかの脆弱性にもパッチを適用している。
Universal Forwarder に影響を及ぼす脆弱性の深刻度は Low および Info だが、Enterprise の脆弱性には High と Medium が含まれている。
Splunk を、ご利用のチームにとっては、急がなければならない脆弱性です。文中の個々のリンクから辿れる情報としては、3件の脆弱性が High と評価されています。なお、前回の Splunk の脆弱性としては、2024/01/23 の「Splunk Enterprise の脆弱性 CVE-2024-23678 などが FIX:Windows インスタンスに影響」があります。よろしければ、Splunk で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.