Critical Splunk flaw can be exploited to grab passwords (CVE-2024-36991)
2024/07/18 HelpNetSecurity — 先日に修正された、Windows 上の Splunk Enterprise に影響を及ぼす脆弱性 CVE-2024-36991 について、「当初に考えられていたよりも深刻なものだ」と、SonicWall の脅威リサーチャーたちが指摘している。IT コンサルタントの Mohamed Nabil Ali により公開された、いくつかの PoC エクスプロイトは、インターネットに面した脆弱なエンドポイントの、一括スキャンが可能なことを証明し、”/etc/passwd” ファイルの読み取りなども達成している。
CVE-2024-36991 について
Splunk Enterprise は、データ分析/監視プラットフォームであり、ネットワーク/セキュリティ・デバイス/サーバなどが生成するデータを取得していく。
Danylo Dmytriiev により発見された CVE-2024-36991 は、このプラットフォームのユーザー・インターフェイスである、Splunk Web に存在するものだ。このパス・トラバーサルの脆弱性を悪用する攻撃者は、ファイル・システムをトラバースし、所定のディレクトリ (/modules/messaging/) 以外のファイルやディレクトリへと、アクセスしていく可能性を得る。
SonicWall の研究者たちは、「この脆弱性は、Python の “os.path.join” 関数に存在する。それにより、トークン内のドライブが、ビルドされたパス内のドライブと一致する場合に、パストークンからドライブ文字が削除されてしまう」と説明している。
その結果として、特別に細工された GET リクエストによる悪用が可能となり、Splunk endpoint におけるディレクトリ・リストが、攻撃者に所得されてしまう。なお、この悪用に成功させる前提条件として、認証は不要である。
研究者たちは、「インターネットまたはローカル・ネットワークを経由して、インスタンスにリモート・アクセスするだけで、この攻撃は成立する」と付け加えている。
悪用リスクの軽減方法
この脆弱性 CVE-2024-36991 が影響を及ぼすのは、Splunk Enterprise のバージョン 9.2.2/9.1.5/9.0.10 以下となる。ただし、その影響は、Windows 上で Splunk Web コンポーネントが “ON” になっている場合に限られる。
脅威研究者たちは、「Splunk は、主に開発環境で利用されているが、Fofa によると、最大で 23万の公開サーバ上で Splunk は実行されている」と指摘している。したがって、管理者推奨されるのは、直ちにパッチを適用することになる。また、Splunk Web を無効化することで、悪用のリスクはなくなるが、修正済みバージョンへのアップグレードが望ましい。
なお、”/modules/messaging” エンドポイントに対する悪用の試みを検出する検索クエリが、Splunk の脅威リサーチ・チームから提供されている。
Splunk Enterprise については、2024/07/01 に「Splunk Enterprise 製品群の複数の RCE 脆弱性が FIX:ただちにパッチを!」という記事があり、CVE-2024-36985 と CVE-2024-36984 は明記されていますが、CVE-2024-36991 は記載されていませんでした。ただし、CVE-2024-36991 のアドバイザリを見ると、7月1日の脆弱性の中に、CVE-2024-36991 が含まれていたようです。すでに PoC エクスプロイトもリリースされているようなので、ご利用のチームは、ご注意ください。よろしければ、Splunk で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.