Splunk Universal Forwarder on Windows Lets Non-Admin Users Access All Contents
2025/06/03 CyberSecurityNews — Splunk Universal Forwarder for Windows に発見された、深刻度の高い脆弱性 CVE-2025-20298 (CVSSv3.1:8.0) は、ディレクトリ・アクセス制御の侵害を許すものである。この脆弱性が影響を及ぼす範囲は、複数のバージョンのソフトウェアに広がっており、Splunk のデータ転送機能を利用するエンタープライズ環境に、重大なセキュリティ・リスクをもたらしている。この脆弱性は、Universal Forwarder for Windows のインストールまたはアップグレード時に、権限が正しく割り当てられないことに起因する。
権限割り当ての脆弱性
このセキュリティ上の脆弱性は、重要なリソースに対する権限の不適切な割り当て (CWE-732 ) に分類されており、アクセス制御メカニズムに存在する、根本的な問題を示唆している。
この脆弱性は、Universal Forwarder for Windows のバージョン 9.4.2/9.3.4/9.2.6/9.1.9 未満のバージョンを新規インストールした場合と、それらのバージョンへとアップグレードした場合に発生する。
これらのプロセスの実行中に、インストール・ディレクトリ (通常は C:\Program Files\SplunkUniversalForwarder) に対して誤った権限が付与され、管理者以外のユーザーであっても、そのディレクトリとコンテンツへのアクセスが可能になってしまう。つまり、エンタープライズ・セキュリティ・フレームワークの基盤である、最小権限の原則に対する重大な違反となる。
CVSSv3.1 ベクター “CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H” が示すのは、攻撃には低レベルの権限とユーザー・インタラクションが必要であるが、機密性/整合性/可用性に重大な影響を生じる可能性である。ネットワーク攻撃ベクター部分は、特定の状況下でリモートからの攻撃を受ける可能性を示唆している。
この脆弱性の影響は広範におよび、Splunk Universal Forwarder for Windows の4つのメジャーリ・リース・ブランチに影響を及ぼす。具体的に言うと、この脆弱性の影響が及ぶ範囲は、9.4 ブランチの 9.4.2 未満/9.3 ブランチの 9.3.4 未満/9.2 ブランチの 9.2.6 未満/9.1 ブランチの 9.1.9 未満となる。
この広範なバージョン範囲が示すのは、数多くのエンタープライズ環境が脆弱である可能性である。特に、Splunk Universal Forwarder を使用して、Windows システムから機密性の高いログデータを収集/転送している組織にとって、大きな懸念となる。
管理者以外のユーザーが、インストール・ディレクトリに不正にアクセスすると、コンフィグ・ファイルの閲覧/転送データへのアクセス/転送動作の変更などが引き起こされる可能性がある。
したがって、データの流出/監査証跡の改竄に加えて、重要な監視機能の中断や、コンプライアンスへの違反につながる可能性がある。
| Risk Factors | Details |
| Affected Products | Splunk Universal Forwarder for Windows versions:- 9.4 branch (< 9.4.2)- 9.3 branch (< 9.3.4)- 9.2 branch (< 9.2.6)- 9.1 branch (< 9.1.9) |
| Impact | Unauthorized access to Splunk installation directory and contents, modification of configuration/log files, risk of service disruption |
| Exploit Prerequisites | – Local access to Windows system with affected Splunk version- Non-administrator user account- Installation/upgrade to vulnerable version without mitigation |
| CVSS 3.1 Score | 8.0 (High) |
緩和策
すでに Splunk は、修正されたバージョンである 9.4.2/9.3.4/9.2.6/9.1.9 をリリースし、この問題に対処している。したがって、ユーザーに推奨しているのは、速やかなアップグレードとなる。これらの脆弱性は深刻度が高く、権限昇格の可能性があるため、アップデートを優先的に適用する必要がある。
迅速なアップグレードが不可能な環境向けに、Splunk が提供するのは、Windows システム管理者として実行する特定の緩和コマンドである。コマンド・プロンプトまたは PowerShell ウィンドウから、以下の icacls.exe コマンドを実行する:
この icacls コマンドにより、インストール・ディレクトリの Built-in Users グループ (*BU) を対象に、問題のある権限が削除されるという。
上記の “/remove:g” パラメータは、特定のグループ権限を削除するものである。また、”/C” フラグは、エラーが発生しても操作を続行するものである。
ユーザー組織として考慮すべきは、影響を受けるバージョンの新規インストール/影響を受けるバージョンへのアップグレード/影響を受ける既存 Splunk のアンインストールと再インストールという、3種類のシナリオに対して、この緩和策を適用する必要性である。
Splunk Universal Forwarder for Windows に、深刻なアクセス制御の脆弱性が発生したとのことです。管理者以外のユーザーが、機密性の高いファイルにアクセスできるというものであり、企業のセキュリティ基盤にとって大きな脅威となる恐れがあります。早急なアップデートや、代替策が推奨されていますので、ご利用のチームは、ご確認ください。よろしければ、Splunk で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.