Splunk Inc., yazılım paketinde, Splunk Enterprise ve Splunk Bulut Platformunu kullanan kuruluşlar için önemli bir risk oluşturan iki önemli güvenlik açığını açıkladı.
CVE-2024-29945 ve CVE-2024-29946 olarak tanımlanan güvenlik açıklarının ciddiyeti sırasıyla 7,2 ve 8,1 olan CVSS puanlarıyla yüksek olarak derecelendirildi.
Bu güvenlik kusurları potansiyel olarak saldırganların kimlik doğrulama belirteçlerini açığa çıkarmasına ve riskli komutlar için korumaları atlamasına olanak tanıyarak, etkilenen kullanıcıların sağlanan yamaları acilen uygulaması gerektiğinin altını çizebilir.
Kimlik Doğrulama Belirteçlerinin Maruz Kalması
İlk güvenlik açığı olan CVE-2024-29945, Splunk Enterprise'ın 9.2.1, 9.1.4 ve 9.0.9'un altındaki sürümlerini etkiliyor. Splunk Enterprise hata ayıklama modunda çalışırken veya JsonWebToken bileşeni, etkinliğini DEBUG günlük kaydı düzeyinde günlüğe kaydedecek şekilde yapılandırıldığında meydana gelebilecek, belirteç doğrulama işlemi sırasında kimlik doğrulama belirteçlerinin açığa çıkmasını içerir.
Normalde Splunk Enterprise, hata ayıklama modu ve belirteç kimlik doğrulaması kapalı olarak çalışır ve JsonWebToken işlemi, BİLGİ günlük kaydı düzeyinde yapılandırılır.
Ancak bu güvenlik açığından yararlanılırsa, hassas verilere yetkisiz erişime izin verilebilir; çünkü bu açığa çıkma, günlük dosyalarına yerel erişim veya dahili dizinlere yönetici erişimi gerektirecektir.
Cisco kısa süre önce Splunk'u 28 milyar dolarlık şaşırtıcı bir anlaşmayla satın aldı. Bu satın almanın, birbirini tamamlayan güçlü yönlere ve uzmanlığa sahip iki teknoloji devini bir araya getirmesi nedeniyle, her iki şirket için de önemli sonuçlar doğurması bekleniyor.
Riskli SPL komutları
İkinci güvenlik açığı olan CVE-2024-29946, Splunk Enterprise'ın 9.2.1, 9.1.4 ve 9.0.9'un altındaki sürümlerini ve Splunk Cloud Platform'un 9.1.2312.100'ün altındaki sürümlerini etkiliyor.
Bu kusur, Splunk Dashboard Studio uygulamasının Kontrol Paneli Örnekleri Merkezi'nde bulunuyor ve burada riskli SPL (Arama İşleme Dili) komutlarına yönelik koruma bulunmuyor.
Sonuç olarak saldırganlar, Hub'daki yüksek ayrıcalıklı bir kullanıcının izinleriyle riskli komutlara yönelik SPL korumalarını atlayabilir. Bu güvenlik açığından yararlanılması genellikle saldırganın kurbanı tarayıcısı içinde bir istek başlatması için kandırarak kimlik avı yapmasını gerektirir.
Splunk, etkilenen sürümler için yamalar yayınlayarak ve hemen yükseltme yapamayan kullanıcılar için azaltma stratejileri sağlayarak bu güvenlik açıklarına yanıt verdi.
CVE-2024-29945 için kullanıcılara hata ayıklama modunu kapatmaları, –debug bağımsız değişkenini kullanmadan örneği yeniden başlatmaları ve potansiyel olarak açıkta kalan kimlik doğrulama jetonlarını döndürmeleri önerilir.
CVE-2024-29946 için Splunk, sabit sürümlere yükseltme yapılmasını veya Kontrol Paneli Örnekleri Merkezi kullanımda değilse uygulamanın devre dışı bırakılmasını veya silinmesini önerir. Ayrıca Splunk Web'in kapatılması olası bir geçici çözüm olarak önerilmektedir.
Splunk yakın zamanda bir güvenlik açığını gidermek için yamalar yayınladı ve bu güncellemenin bir parçası olarak Splunk Universal Forwarder ve Splunk Enterprise ürünleri için de Üçüncü Taraf Paket Güncellemeleri sağladı.
Bu güvenlik açıkları, yazılımı güncel tutmanın ve en iyi güvenlik uygulamalarına bağlı kalmanın önemini vurgulamaktadır.
Splunk kullanan kuruluşlara, verilerini ve altyapılarını potansiyel tehditlerden korumak için sistemlerini gözden geçirmeleri, gerekli yamaları uygulamaları ve önerilen azaltma stratejilerini izlemeleri tavsiye edilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & ikiitter.