Splunk Patches High-Severity Vulnerabilities in Enterprise Product
2024/07/01 SecurityWeek — 7月1日 (月) に Splunk が発表したのは、Splunk Enterprise/Cloud Platform に存在する 16 件の脆弱性に対するパッチである。深刻度の高い問題のうちの3件は、リモートコード実行の脆弱性であるが、悪用の前提条件として認証が必要だとされる。1つ目の脆弱性 CVE-2024-36985 は、低特権ユーザーが ‘splunk_archiver’ アプリケーションを参照するルックアップを通じて、悪用される可能性があるものだ。この問題は、Splunk Enterprise バージョン 9.2.x/9.1.x/9.0.x に影響を及ぼす。すでに Splunk は、Enterprise バージョン 9.2.2/9.1.5/9.0.10 のリリースにより、この脆弱性に対処している。なお、このバグは、’splunk_archiver’ アプリケーションを無効化することでも軽減できる。
2番目の脆弱性 CVE-2024-36984 は、Splunk Enterprise for Windows に影響を及ぼす RCE のバグである。悪用に成功した認証済の攻撃者は、細工したクエリを実行して信頼できないデータをシリアライズし、任意のコードを実行する可能性を手にする。
Splunk は、「この悪用を成功させるためには、Splunk Enterprise インストール内にファイルを書き込む、collect SPL コマンドの使用が不可欠である。このファイルを使用してシリアライズされたペイロードを送信する攻撃者は、ペイロード内のコードを実行する可能性を手にする」と述べている。
3つ目の RCE の脆弱性は、Enterprise/Cloud Platform のダッシュボード PDF 生成コンポーネントに影響するものであり、脆弱なバージョンの ReportLab Toolkit (v3.6.1) Python ライブラリの使用に起因するものだ。
さらに Splunk は、Enterprise/Cloud Platform において、レガシーな内部関数を呼び出す外部ルックアップを、認証済みのユーザーが作成することで、Splunk プラットフォームのインストール・ディレクトリへのコード挿入を可能性にする、深刻度の高いコマンド・インジェクションの欠陥にもパッチを適用した。
Splunk は、「この脆弱性は、スクリプト化されたアラート・アクションが使用する、現在では非推奨の ‘runshellscript’ コマンドに関連するものだ。このコマンドと外部コマンドのルックアップにより、この脆弱性を悪用する認証済みのユーザーが、Splunk プラットフォームのインスタンスにおける特権コンテキストでコマンドを注入し、実行することが可能になる」と説明している。
その他の深刻度の高いバグには、Windows 版 Splunk Enterprise におけるパストラバーサルと、Enterprise/Cloud Platform におけるサービス拒否がある。また、その他の修正としては、Enterprise/Cloud Platform に影響を及ぼす、中程度の深刻度の欠陥に対処するものがある。
これらの脆弱性の悪用について、Splunk は言及していない。また、追加情報は Splunk のセキュリティ勧告ページで確認できる。
さらに、7月1日には、Splunk Enterprise のサードパーティ・パッケージにおける約 20件の脆弱性に対するパッチも発表されている。具体的に言うと、Linux 版 Splunk Enterprise および、Solaris 版 Universal Forwarder のユーザーに対して、特定のバージョン/アーキテクチャで OpenSSL 用の暗号ライブラリが誤ってコンパイルされていることが通知された。
Splunk の脆弱性ですが、リモートコード実行に至るものもあるので、ご利用のチームは、十分にご注意ください。なお、この太具における 直近の Splunk の脆弱性は、2024/01/23 の「Splunk Enterprise の脆弱性 CVE-2024-23678 などが FIX:Windows インスタンスに影響」となっています。よろしければ、Splunk で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.