Splunk Patches Critical Vulnerabilities, Including Remote Code Execution Flaws
2024/10/14 SecurityOnline — データ分析/セキュリティ監視のプラットフォーム Splunk がリリースしたのは、Splunk Enterprise/Splunk Cloud Platform の 12件の脆弱性を修正するための、セキュリティ・アップデートである。これらの脆弱性は深刻度には幅があり、リモート・コード実行を可能にするものや、低権限の攻撃者に機密情報へのアクセスを許すもの含まれる。
CVE-2024-45731/CVE-2024-45733:早急な対応が必要な RCE 脆弱性
最も深刻な脆弱性 CVE-2024-45731/CVE-2024-45733 は、攻撃者に対してリモート・コード実行を許す可能性があるものだ。この CVE-2024-45731 の影響が顕著になる Windows 環境は、別のディスクに Splunk Enterprise をインストールしているケースとなる。この脆弱性の悪用に成功した攻撃者は、Windows システムのルート・ディレクトリに悪意の DLL ファイルを書き込むことが可能になるため、システム全体が侵害される可能性が生じる。もう一方の CVE-2024-45733 は、セッション・ストレージの安全が確保されないコンフィグが原因となり、Splunk Enterprise for Windows の 9.2.3/9.1.6 以下のバージョンに影響を及ぼす。
低権限の攻撃者がもたらす大きな脅威
権限のない攻撃者に対して、不正なアクセスと権限が付与される、複数の脆弱性も対処されている。
- CVE-2024-45732:SplunkDeploymentServerConfig アプリ内で、“nobody” ユーザーとして検索が達成され、制限付きのデータが公開される可能性が生じる。
その他の脆弱性により、低特権ユーザーは以下のことが可能になる。
- CVE-2024-45734:ホストマシンのイメージの表示。
- CVE-2024-45735:Splunk Secure Gateway App のコンフィグ・データへのアクセス
- CVE-2024-45736:Splunk デーモンのクラッシュ
- CVE-2024-45737:App Key Value Store のメンテナンス・モード状態の操作
情報漏洩と XSS の脆弱性
さらに、機密情報の漏洩につながる可能性のある、脆弱性 CVE-2024-45738/CVE-2024-45739 が修正されている。また、他ユーザーが閲覧する Web ページに対する。悪意のスクリプト注入に悪用される可能性がある、持続型の XSS 脆弱性 CVE-2024-45740/CVE-2024-45741 も修正された。
ただちにアップデートを!
すでに Splunk は、これらの脆弱性に対処するための、アップデートをリリースしている。すべてのユーザーに対して強く推奨されるのは、Splunk Enterprise/Splunk Cloud Platform の最新バージョンへと、ただちにアップグレードすることだ。また、すぐにアップデートできないユーザーに対しては、緩和策と回避策が提供されている。
影響を受けるバージョンの全体リストと、各脆弱性の詳細については、Splunk のセキュリティ勧告ページを参照してほしい。
Splunk に存在する、複数の脆弱性が FIX したとのことです。ご利用のチームは、ご注意ください。Splunk 関連の直近の記事は、2024/07/18 の「Splunk Enterprise の深刻な脆弱性 CVE-2024-36991 が FIX:PoC も提供されている」となっています。よろしければ、Splunk で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.