CVE-2024-53247: Splunk Secure Gateway App Vulnerability Allows Remote Code Execution
2024/12/11 SecurityOnline — Splunk Secure Gateway アプリに存在する、重大な脆弱性 CVE-2024-53247 (CVSS 8.8) が発見された。この脆弱性を悪用する低特権の攻撃者は、脆弱なシステム上での任意のコード実行の可能性を得る。この脆弱性の影響を受けるのは、Splunk Enterprise 9.3.2/9.2.4/9.1.7 以下および、Splunk Cloud プラットフォーム上 の Splunk Secure Gateway アプリのバージョン 3.2.461/3.7.13 以下となる。
脆弱性の詳細
脆弱性 CVE-2024-53247 は、jsonpickle Python ライブラリの不適切な使用による、安全が確保されないデータ・デシリアライズに起因する。この脆弱性を悪用する攻撃者は、リモート実行が可能な悪意のコードを注入し、影響を受けるシステムの完全な制御を手にする恐れがある。
影響を受ける製品
- Splunk Enterprise 9.3.2/9.2.4/9.1.7 以下
- Splunk Cloud Platform 上の Splunk Secure Gateway アプリの 3.2.461/3.7.13 以下
悪用された場合のシナリオ
この脆弱性が悪用されると、リモートからコードが実行する攻撃者が、以下のアクションを引き起こす恐れがある。
- 機密データの漏洩
- マルウェアのインストール
- システムの制御
- 重要なサービスの妨害
解決策
すでに Splunk は、パッチをリリースし、この脆弱性に対処している。ユーザーに対して推奨されるのは、Splunk Enterprise/Secure Gateway アプリを、以下の最新バージョンへと速やかにアップグレードすることだ。
- Splunk Enterprise 9.3.2/9.2.4/9.1.7 以降
- Splunk Secure Gateway 3.2.461/3.7.13 以降
緩和策
即時のパッチ適用が難しいユーザーに対して、Splunk が一時的な緩和策として推奨するのは、Splunk Secure Gateway アプリの無効化である。ただし、Splunk Mobile/Spacebridge/Mission Control などのアプリが、Splunk Secure Gateway の機能に依存しているため、ともに無効化されることに注意が必要である。
Splunk Secure Gateway の脆弱性が FIX しました。CVSS 値は 8.8 となっていますので、ご注意ください。直近の Splunk 関連のトピックは、2024/10/14 の「Splunk の複数の脆弱性が FIX:深刻な RCE CVE-2024-45731/45733 に要注意」です。よろしければ、Splunk で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.