Višestruke ranjivosti u Splunk Enterprise i Splunk Cloudu
Dana 14. listopada 2024., tvrtka Splunk je izdala nekoliko sigurnosnih objava vezanih uz otklanjanje višestrukih ranjivosti visoke i srednje razine rizika koje zahvaćaju Splunk Enterprise i Splunk Cloud. Ove ranjivosti mogu dovesti do proizvoljnog upisa datoteka u root direktorij operativnog sustava Windows, pristupa potencijalno ograničenim podacima i udaljenog izvršavanja kôda (engl. remote code execution - RCE).
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
- Ranjivost CVE-2024-45733 (CVSS ocjena 8.8), omogućuje korisniku s nižim privilegijama, koji nema "admin" ili "power" Splunk uloge, da izvrši udaljeno izvršavanje kôda zbog nesigurne konfiguracije pohrane sesija.
- Ranjivost CVE-2024-45731 (CVSS ocjena 8.0), omogućuje korisniku s nižim privilegijama, koji nema "admin" ili "power" Splunk uloge, da upiše datoteku u root direktorij operativnog sustava Windows, čija je zadana lokacija u Windows mapi System32, kada je Splunk Enterprise za Windows instaliran na odvojenom disku. Korisnik bi mogao upisati zlonamjernu DLL datoteku koja, ako se učita, može rezultirati udaljenim izvršavanjem kôda iz te DLL datoteke.
- Ranjivost CVE-2024-45732 (CVSS ocjena 7.1), omogućuje korisniku s nižim privilegijama, koji nema "admin" ili "power" Splunk uloge, pokretanje pretrage kao korisnik "nobody" unutar aplikacije SplunkDeploymentServerConfig, a što omogućuje pristup potencijalno ograničenim podacima.
Za cjelokupan popis ranjivosti, posjetite službenu stranicu Splunk sigurnosnih obavijesti - Splunk Advisory.
Zahvaćeni proizvodi:
- Ranjivost CVE-2024-45733 zahvaća Splunk Web komponentu unutar Splunk Enterprise za Windows verzije 9.2.0 do 9.2.2, te 9.1.0 do 9.1.5.
- Ranjivost CVE-2024-45731 zahvaća Splunk Web komponentu unutar Splunk Enterprise za Windows verzije 9.3.0, 9.2.0 do 9.2.2, te 9.1.0 do 9.1.5, ako je instanca Splunk Enterprise instalirana na odvojenom disku.
- Ranjivost CVE-2024-45732 zahvaća SplunkDeploymentServerConfig komponentu u Splunk za Cloud Platformu, te Splunk Enterprise verzije 9.2.0 do 9.2.2, i 9.3.0.
Preporuke:
Preporučuje se žurna nadogradnja ranjivih sustava na najnoviju dostupnu ispravljenu verziju, prioritizirajući uređaje koji su javno izloženi internetu.
Također se preporučuje:
- onemogućiti Splunk Web komponentu na Splunk indeksatorima u distribuiranim okruženjima;
- ograničiti pristup za upisivanje knowledge objekata unutar Splunk aplikacija izmjenom local.meta datoteke u direktoriju $SPLUNK_HOME/etc/apps/SplunkDeploymentServerConfig/metadata na sljedeći način:
|
[]
access = read : [ * ], write : [ admin ]
|
Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 17.10.2024 - 08:11]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima