Splunk Enterprise の脆弱性 CVE-2025-20229/20231 が FIX:RCE とデータ漏洩の恐れ

Splunk Alert: RCE and Data Leak Vulnerabilities Threaten Platforms

2025/03/27 SecurityOnline — Splunk がリリースしたのは、マシン生成データの検索/監視/分析に多用されるプラ​​ットフォーム Splunk Enterprise/Cloud Platform に影響を及ぼす、深刻な脆弱性を詳述するセキュリティ・アドバイザリである。これらの脆弱性の悪用に成功した攻撃者は、リモート・コード実行や機密情報の漏洩などを引き起こす可能性を手にする。

CVE-2025-20229: (CVSS 8.0)
不正なファイル・アップロードによるリモート ・コード実行

脆弱性 CVE-2025-20229 は、サーバ上の特定のディレクトリへのファイル・アップロードに関する欠陥であり、権限の低いユーザーであっても任意のリモート・コード実行を達成し、深刻な脅威を引き起こす可能性のあるものだ。この脆弱性は、”$SPLUNK_HOME/var/run/splunk/apptemp” へのファイル・アップロード・プロセスにおける、認証チェックの欠如に起因する。

公式の Splunk アドバイザリには、「Splunk の低権限ユーザーであっても、この認証チェックの欠如の脆弱性により、悪意のファイルのアップロードを通じて、リモート・コード実行 (RCE) を達成する機会を手にする」と記されている。

影響を受けるバージョンは以下のとおりである:

  • Splunk Enterprise:9.1.0 ~ 9.1.7/9.2.0 ~ 9.2.4/9.3.0 ~ 9.3.2
  • Splunk Cloud Platform:9.3.2408.104/9.2.2406.108/9.1.2312.208 未満

修正バージョンとして、Splunk Enterprise 9.1.8/9.2.5/9.3.3/9.4.0 が提供されている。Splunk Cloud Platform インスタンスに関しては、Splunk サイドでパッチ適用している。

CVE-2025-20231: (CVSS 7.1)
Splunk Secure Gateway での機密トークン漏洩

2つ目の脆弱性 CVE-2025-20231 は、Splunk Secure Gateway アプリに影響を及ぼすものであり、ユーザー・セッション・トークンと認証トークンの漏洩につながる。それらのトークンは、”/services/ssg/secrets” エンドポイントへの呼び出し時に、splunk_secure_gateway.log 内に平文で記録される。

公式の Splunk アドバイザリには、「この脆弱性を悪用する攻撃者は、被害者を騙してブラウザー内でリクエストを開始させることでフィッシングに到達する。とは言え、攻撃者は漏洩したトークンを使用してユーザーになりすまし、昇格された検索権限を通じて機密情報を取得できるため、その影響は軽視できない」と記されている。

影響を受けるバージョンは、以下のとおりである:

  • Splunk Enterprise:9.4.1/9.3.3/9.2.5/9.1.8 未満
  • Splunk Secure Gateway: 3.8.38/3.7.23 未満

修正バージョンとして、Splunk Enterprise 9.4.1/9.3.3/9.2.5/9.1.8 と、Splunk Secure Gateway: 3.8.38/3.7.23 が提供されている。Splunk Cloud Platform インスタンスに関しては、Splunk サイドでパッチ適用している。

Splunk は、Secure Gateway を使用しない場合の一時的な緩和策として、その無効化を推奨している。公式の Splunk アドバイザリには、「対象となるアプリや機能を使用しない場合には、潜在的な緩和策として、アプリの削除/無効化も有効である」と記されている。

速やかな行動:デプロイメントへのパッチ適用と監査

独自の Splunk Enterprise 環境を管理している、ユーザー組織とって必要なことは、サポートされている最新バージョンへの速やかなアップグレードにより、潜在的な悪用を防ぐことだ。影響を受ける Splunk Cloud Platform インスタンスに関しては、同社による積極的な監視とパッチ適用が行われている。

防御側に推奨されるのは、以下の2つの行動である:

  • 影響を受けるバージョンに対して、速やかなアップグレードを行い、攻撃ベクターを塞ぐ。
  • 想定される境界を超えて操作している可能性のある、低権限ユーザーについて、アクセス制御とユーザー・ロールを確認する。

Splunk Enterprise/Cloud Platform/Secure Gateway の脆弱性が FIX しました。RCE やデータ漏洩につながる可能性があるとのことですので、ご利用のチームは、迅速なアップデートを、ご検討ください。よろしければ、Splunk で検索も、ご参照下さい。