Splunk – IoT OT Security News

Splunk Enterprise／Universal Forwarder の脆弱性 CVE-2025-20386／20387 が FIX：権限昇格の恐れ

Splunk Enterprise Vulnerabilities Allow Privilege Escalation Via Incorrect File Permissions

2025/12/05 CyberSecurityNews — Splunk が公表したのは、Windows 向け Enterprise／Universal Forwarder のインストール／アップグレード時における、不適切なファイル権限設定に起因する深刻な脆弱性である。この脆弱性に対しては、Splunk Enterprise では CVE-2025-20386 CVSS 8.0 (High) が、Splunk Universal Forwarder では CVE-2025-20387 CVSS 8.0 (High) が割り当てられている。管理者以外のユーザーであっても、機密性の高いインストール・ディレクトリとコンテンツへのアクセスが許されるため、権限昇格に至る可能性がある。

Splunk Enterprise／Cloud の６件の脆弱性が FIX：SSRF や任意のコード実行などの恐れ

Multiple Splunk Enterprise Vulnerabilities Let Attackers Execute Unauthorized JavaScript code

2025/10/02 CyberSecurityNews — Splunk が発表したのは、Splunk Enterprise／Cloud Platform 製品に存在する、複数の脆弱性に対するパッチである。これらの脆弱性を悪用する攻撃者は、不正な JavaScript コードの実行／機密情報へのアクセス／サービス拒否 (DoS) などの攻撃を仕掛ける可能性がある。2025年10月1日に公開された、これらのアドバイザリでは、深刻度 Medium〜High レベルの６件のセキュリティ上の欠陥について詳細に説明されている。

VMware ESXi へのランサムウェア攻撃を検知／防止：Splunk がリリースするセキュリティ・ガイドとは？

Splunk Release Guide for Defenders to Detect Suspicious Activity Before ESXi Ransomware Attack

2025/08/14 CyberSecurityNews — VMware ESXi インフラを標的とする攻撃を検知し、ランサムウェアによる壊滅的な被害を引き起こされる前に防御するための、詳細なセキュリティ・ガイドが、Splunk からサイバー・セキュリティ・チームに対して公開された。このガイドは、VMware の ESXi ハイパーバイザー・システムに対する、脅威の高まりに対応するために作成されたものだ。これらの標的とされるシステムは、集中管理されたシステムであり、多くの場合において監視が不十分であり、サイバー犯罪者たちの主要なターゲットとなっている。

Splunk が発表した PLoB (Post-Logon Behavior)：APT による認証情報の悪用を素早く発見

Splunk Unveils PLoB Tool to Detect Compromised Credential Usage

2025/08/07 gbhackers — Splunk が導入した PLoB (Post-Logon Behavior Fingerprinting and Detection) は、認証情報の不正使用を素早く検出するためのものだ。サイバー・セキュリティ・インシデントの半数以上において、侵害された認証情報が初期アクセスの主要なベクターになると、Cisco Talos IR Trends report for Q1 2025 は指摘している。また、Verizon の Data Breach Investigations Report では、認証情報の不正使用が、侵害の 22% に関連していると裏付けられている。

Splunk Enterprise サードパーティの脆弱性が FIX：golang crypto／net などの問題に対処

Splunk Enterprise Addresses Vulnerabilities in Bundled Third-Party Packages – Update Now

2025/07/09 gbhackers — Splunk が公表したのは、Enterprise プラットフォーム向けの、重要なセキュリティ・アップデート SVD-2025-0710 のリリースである。このアップデートは、複数の製品にバンドルされているサードパーティ製パッケージに含まれる、複数の脆弱性を修正するものだ。2025年7月7日に同社は、アドバイザリ SVD-2025-0710 を発行し、さまざまなレベルの深刻度を持つ脆弱性を修正するために、速やかなアップデートを実施すべきだと、強く推奨している。

Splunk SOAR サードパーティの脆弱性が FIX：問題のある OSS パッケージをアップデート

Splunk SOAR Addresses Vulnerabilities in Third-Party Packages – Update Now

2025/07/09 gbhackers — Splunk が 2025年7月12日に公開したセキュリティ・アドバイザリによると、同社の SOAR (Security Orchestration, Automation and Response) に脆弱性が発見されたとのことだ。このプラットフォームに取り込まれる十数種の OSS コンポーネントに、脆弱なバージョンのパッケージが含まれることが判明しており、その中には、すでにエクスプロイトが公開されている欠陥もあるという。

GitHub Actions に潜む問題：MITRE／Splunk リポジトリへの侵害を研究者たちが実証

Insecure GitHub Actions in Open Source Projects MITRE and Splunk Exposes Critical Vulnerabilities

2025/06/18 CyberSecurityNews — GitHub に対する包括的なセキュリティ調査により、主要な OSS リポジトリ全体にわたる GitHub Actions ワークフローにおいて、広範な脆弱性の存在が明らかになったが、その中には MITRE や Splunk といった組織が管理するリポジトリも含まれる。今回の発見が浮き彫りにするのは、これらのプロジェクトを潜在的なサプライチェーン攻撃や機密情報への不正アクセスにさらす、安全が確保されない CI/CD (Continuous Integration and Continuous Delivery) コンフィグレーションの懸念すべきパターンである。

Splunk の脆弱性 CVE-2025-20298 が FIX：重要リソースに対する不適切な権限割当

Splunk Universal Forwarder on Windows Lets Non-Admin Users Access All Contents

2025/06/03 CyberSecurityNews — Splunk Universal Forwarder for Windows に発見された、深刻度の高い脆弱性 CVE-2025-20298 (CVSSv3.1：8.0) は、ディレクトリ・アクセス制御の侵害を許すものである。この脆弱性が影響を及ぼす範囲は、複数のバージョンのソフトウェアに広がっており、Splunk のデータ転送機能を利用するエンタープライズ環境に、重大なセキュリティ・リスクをもたらしている。この脆弱性は、Universal Forwarder for Windows のインストールまたはアップグレード時に、権限が正しく割り当てられないことに起因する。

Splunk Enterprise の XSS 脆弱性 CVE-2025-20297 が FIX：セッション・ハイジャックなどの可能性

Splunk Enterprise XSS Vulnerability Let Attackers Execute Unauthorized JavaScript Code

2025/06/03 CyberSecurityNews — Splunk Enterprise プラットフォームに、深刻な反射型クロスサイト・スクリプティング (XSS) の脆弱性が発見された。この脆弱性の悪用に成功した、特権を持たない攻撃者は、不正な JavaScript コード実行の可能性を手にする。この脆弱性 CVE-2025-20297 が影響を及ぼす範囲は、Splunk Enterprise／Cloud Platform の複数のバージョンとなる。すでに同社は、この問題に対し、緊急のセキュリティ更新プログラムをリリースしている。

Splunk Enterprise の脆弱性 CVE-2025-20229／20231 が FIX：RCE とデータ漏洩の恐れ

Splunk Alert: RCE and Data Leak Vulnerabilities Threaten Platforms

2025/03/27 SecurityOnline — Splunk がリリースしたのは、マシン生成データの検索／監視／分析に多用されるプラットフォーム Splunk Enterprise／Cloud Platform に影響を及ぼす、深刻な脆弱性を詳述するセキュリティ・アドバイザリである。これらの脆弱性の悪用に成功した攻撃者は、リモート・コード実行や機密情報の漏洩などを引き起こす可能性を手にする。

Splunk Secure Gateway の脆弱性 CVE-2024-53247 が FIX：RCE にいたる恐れ

CVE-2024-53247: Splunk Secure Gateway App Vulnerability Allows Remote Code Execution

2024/12/11 SecurityOnline — Splunk Secure Gateway アプリに存在する、重大な脆弱性 CVE-2024-53247 (CVSS 8.8) が発見された。この脆弱性を悪用する低特権の攻撃者は、脆弱なシステム上での任意のコード実行の可能性を得る。この脆弱性の影響を受けるのは、Splunk Enterprise 9.3.2／9.2.4／9.1.7 以下および、Splunk Cloud プラットフォーム上の Splunk Secure Gateway アプリのバージョン 3.2.461／3.7.13 以下となる。

Splunk の複数の脆弱性が FIX：深刻な RCE CVE-2024-45731／45733 に要注意

Splunk Patches Critical Vulnerabilities, Including Remote Code Execution Flaws

2024/10/14 SecurityOnline — データ分析／セキュリティ監視のプラットフォーム Splunk がリリースしたのは、Splunk Enterprise／Splunk Cloud Platform の 12件の脆弱性を修正するための、セキュリティ・アップデートである。これらの脆弱性は深刻度には幅があり、リモート・コード実行を可能にするものや、低権限の攻撃者に機密情報へのアクセスを許すもの含まれる。

Splunk Enterprise の深刻な脆弱性 CVE-2024-36991 が FIX：PoC も提供されている

Critical Splunk flaw can be exploited to grab passwords (CVE-2024-36991)

2024/07/18 HelpNetSecurity — 先日に修正された、Windows 上の Splunk Enterprise に影響を及ぼす脆弱性 CVE-2024-36991 について、「当初に考えられていたよりも深刻なものだ」と、SonicWall の脅威リサーチャーたちが指摘している。IT コンサルタントの Mohamed Nabil Ali により公開された、いくつかの PoC エクスプロイトは、インターネットに面した脆弱なエンドポイントの、一括スキャンが可能なことを証明し、”/etc/passwd” ファイルの読み取りなども達成している。

Splunk Enterprise 製品群の複数の RCE 脆弱性が FIX：ただちにパッチを！

Splunk Patches High-Severity Vulnerabilities in Enterprise Product

2024/07/01 SecurityWeek — 7月1日 (月) に Splunk が発表したのは、Splunk Enterprise／Cloud Platform に存在する 16 件の脆弱性に対するパッチである。深刻度の高い問題のうちの３件は、リモートコード実行の脆弱性であるが、悪用の前提条件として認証が必要だとされる。１つ目の脆弱性 CVE-2024-36985 は、低特権ユーザーが ‘splunk_archiver’ アプリケーションを参照するルックアップを通じて、悪用される可能性があるものだ。この問題は、Splunk Enterprise バージョン 9.2.x／9.1.x／9.0.x に影響を及ぼす。すでに Splunk は、Enterprise バージョン 9.2.2／9.1.5／9.0.10 のリリースにより、この脆弱性に対処している。なお、このバグは、’splunk_archiver’ アプリケーションを無効化することでも軽減できる。

Fluent Bit ログ管理に深刻な脆弱性 CVE-2024-4323：DoS 攻撃のための PoC が提供される

Experts Warn Of A Flaw In Fluent Bit Utility That Is Used By Major Cloud Platforms And Firms

2024/05/21 SecurityAffairs — 主要クラウド・プラットフォームで使用されている、Fluent Bit ユーティリティに深刻な脆弱性が存在することを、Tenable の研究者たちが発見した。オープンソースとして提供される Fluent Bit は、ログを取り扱うための軽量かつ高性能なプロセッサ／フォワーダである。このユーティリティは、各種のソースから各種のディスティネーションへと、ログなどの多様なデータを収集／処理／転送するように設計されている。Fluent Bit は Fluentd エコシステムの一部であり、リソース効率に最適化されているため、IoT デバイス／エッジ・コンピューティング／コンテナ化されたアプリケーションなどの、リソースが限定されている環境に適している。

Splunk Enterprise の脆弱性 CVE-2024-29946／29945 が FIX：ただちにパッチを！

Splunk Patches Vulnerabilities in Enterprise Product

2023/03/28 SecurityWeek —3月27日 (水) に Splunk は、Enterprise 製品向けのセキュリティ・パッチを発表したが、その中には深刻度 High の脆弱性も含まれる。Splunk Enterprise がパッチを適用した、２件の深刻度の高い脆弱性については、個別のアドバイザリが公開されている。そのうちの１つである、脆弱性 CVE-2024-29946 は、Splunk Dashboard Studio アプリの Dashboard Examples Hub に影響すものであり、リスクの高い SPL (Search Processing Language) コマンドの保護のバイパスのために悪用される可能性がある。

Splunk Enterprise の脆弱性 CVE-2024-23678 などが FIX：Windows インスタンスに影響

High-Severity Vulnerability Patched in Splunk Enterprise

2024/01/23 SecurityWeek — 2024年1月22日に Splunk が発表したパッチは、Splunk Enterprise の Windows インスタンスに影響を及ぼす、深刻度の高い複数の脆弱性に対するものである。脆弱性 CVE-2024-23678 は、パス入力データの不正なサニタイズに関連する問題であり、マシン上の別のディスク・パーティションからの、信頼できないデータのデシリアライズを引き起こすと説明されている。

Splunk Enterprise の RCE 脆弱性 CVE-2023-46214：PoC エクスプロイトが公開

PoC for Splunk Enterprise RCE flaw released (CVE-2023-46214)

2023/11/27 HelpNetSecurity — Splunk Enterprise に存在する、深刻なリモートコード実行の脆弱性 CVE-2023-46214 (CVSS：8.8) に対する PoC エクスプロイトが公開された。この製品を利用するユーザーに対して推奨されるのは、提供されているパッチまたは回避策への迅速な対応である。

Windows のゼロデイ脆弱性 CVE-2023-36025：PoC エクスプロイトが公開

Researchers Published PoC Exploit for Windows Zero-Day CVE-2023-36025 Vulnerability

2023/11/21 SecurityOnline — Microsoft がリリースしたパッチを解析し、脆弱性 CVE-2023-36025 の PoC エクスプロイトを作成した、セキュリティ研究者たちがいる。この脆弱性は、発見された後にパッチが適用されており、脅威アクターによる悪用は確認されていない。CVE-2023-36025 (CVSS：8.8) は、Windows SmartScreen コンポーネント内の高度なセキュリティ機能バイパスの脆弱性である。Microsoft のアドバイザリによると、この脆弱性の悪用に成功した攻撃者は、通常の SmartScreen チェックや関連する警告を回避し、特別に細工されたインターネット・ショートカット (.URL) や、悪意のファイルを指すハイパーリンクを、ユーザーがクリックするように仕向けるという。

Splunk Enterprise／IT Service Intelligence の深刻な RCE 脆弱性 CVE-2023-40595 などが FIX

Splunk Patches High-Severity Flaws in Enterprise, IT Service Intelligence

2023/08/31 SecurityWeek — 8月30日 (水) に Splunk が発表したのは、Splunk Enterprise および IT Service Intelligence に存在する、複数の深刻度の高い脆弱性 (サードパーティ製パッケージの欠陥を含む) に対するパッチである。今月に Splunk Enterprise が解決したバグの中で、最も深刻な脆弱性は CVE-2023-40595 (CVSS：8.8) であり、細工されたクエリを介した、リモート・コード実行の問題だと説明されている。

Splunk Enterprise の複数の深刻な脆弱性が FIX：早急なパッチ適用が推奨されている

Splunk Enterprise Updates Patch High-Severity Vulnerabilities

2023/02/15 SecurityWeek — 2月14日に Splunk は、Splunk Enterprise のアップデートを発表した。それにより、同製品で使用されるサードパーティ・パッケージに影響を与える、複数の深刻な脆弱性が解決されることになる。最も深刻な脆弱性は CVE-2023-22939／CVE-2023-22935 (CVSS：8.1) であり、危険なコマンドに対する Search Processing Language (SPL) セーフガードが、バイパスされる可能性が生じるという。どちらの脆弱性も、Splunk Web を有効にしたインスタンスに影響するが、前提として高特権ユーザーによるブラウザ・リクエストが必要となる。

OCFS でセキュリティ・アラートを正規化：AWS と Splunk が Black Hat で発表

New Cross-Industry Group Launches Open Cybersecurity Framework

2022/08/12 DarkReading — BLACK HAT USA – LAS VEGAS — Amazon Web Services (AWS) と Splunk は、各種の監視システムにおけるセキュリティ・アラートの標準化を推進するために、18種類のシステムおよびセキュリティ・ベンダーによる、業界としての取り組みを主導していく。その目的は、セキュリティ・チームのためにあり、セキュリティ・データを迅速に取り込み分析するための、ベンダーにとらわれない簡素化された分類法を提供することにある。

CISA が編纂するリスト：サイバー・セキュリティのための無償ツール／サービス

CISA compiles list of free cybersecurity tools and services

2022/02/19 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃からの防御を強化し、組織のセキュリティ能力を高めるための、無料のサイバー・セキュリティ・サービス／ツールのリストを公開した。このリストは、包括的なものではなく、また、変化にも対応できるものだが、サイバー・セキュリティ・プログラムのための、基本的なセキュリティ対策と組み合わせることで、企業のサイバー・セキュリティ・リスク管理を成熟させることを目的としている。