Splunk yakın zamanda Splunk Enterprise yazılımındaki birden fazla güvenlik açığını gidermeyi amaçlayan bir güvenlik tavsiyesi yayınladı. Tavsiye belgesi, bu Splunk güvenlik açıklarını, Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) temel puanlarına göre üç ana sınıflandırmaya ayırıyor ve iki kritik yüksek riskli sorunu, sekiz orta riskli güvenlik açığını ve bir düşük riskli güvenlik açığını vurguluyor.
Tavsiye belgesinde, CVE-2024-45731’den CVE-2024-45741’e kadar çeşitli CVE kimlikleriyle ilişkili toplam on bir güvenlik açığının ayrıntıları verilmektedir. Bunlar arasında, kullanıcılar için kritik bir riske işaret eden iki güvenlik açığı yüksek önem derecesine sahip olarak işaretlendi. Kalan güvenlik açıkları orta ve düşük kategorilere ayrılmaktadır ve Splunk kullanan kuruluşların acilen ele alması gereken bir dizi potansiyel tehdidi yansıtmaktadır.
Splunk, tespit edilen tüm güvenlik açıkları için yamaların mevcut olduğunu doğruladı ve ilgili riskleri azaltmak için kullanıcıları bu güncellemeleri derhal uygulamaya çağırdı. Bu yamaların uygulanmasının ihmal edilmesi, kuruluşları yetkisiz erişim ve potansiyel veri ihlalleri de dahil olmak üzere önemli tehditlere maruz bırakabileceğinden bu kılavuz çok önemlidir.
Splunk Güvenlik Açıklarına Genel Bakış
Tavsiye belgesinde vurgulanan en acil endişelerden biri, CVE-2024-45731kritik bir uzaktan kod yürütme güvenlik açığını giderir. Bu yüksek önem dereceli güvenlik açığı CVSS puanı 8.0’dır ve Splunk Enterprise for Windows’un 9.3.1, 9.2.3 ve 9.1.6’nın altındaki sürümlerini etkiler. Düşük ayrıcalıklı bir saldırgan, Splunk’un ayrı bir sürücüye kurulu olması durumunda Windows sistem kök dizinine bir dosya yazarak bu güvenlik açığından yararlanabilir ve potansiyel olarak saldırganın kötü amaçlı bir DLL yüklemesine ve uzaktan kod yürütmesine olanak tanıyabilir. Kullanıcıların bu riski azaltmak için Splunk’u ayrı bir diske kurmaktan kaçınmaları önerilir.
Dikkate değer bir diğer güvenlik açığı, CVE-2024-457336,5 CVSS puanıyla da önemli bir tehdit oluşturuyor. Bu güvenlik açığı Splunk Enterprise for Windows’u 9.2.3 ve 9.1.6’nın altındaki sürümlerde etkileyerek, güvenli olmayan oturum depolama yapılandırmaları nedeniyle uzaktan kod yürütülmesine olanak tanıyor. Kuruluşların, istismarı önlemek için oturum açmanın gereksiz olduğu dağıtılmış ortamlarda dizin oluşturucularda Splunk Web’i devre dışı bırakmaları teşvik edilmektedir.
Ek olarak, CVE-2024-45734 ve CVE-2024-45735 her ikisi de 4,3 puan alıyor ve orta riskli güvenlik açıkları sunuyor. CVE-2024-45734, PDF dışa aktarma özelliği aracılığıyla kullanılabilir ve kullanıcıların Splunk çalıştıran makinedeki yerel görüntüleri görüntülemesine olanak tanır. Kullanıcıların bu riski azaltmak için Splunk Web’i devre dışı bırakmaları önerilir. Bu arada CVE-2024-45735, düşük ayrıcalıklı kullanıcıların Splunk Güvenli Ağ Geçidi Uygulaması içindeki hassas dağıtım yapılandırmalarına erişmesine olanak tanır. Kullanıcılar gerekmiyorsa bu uygulamayı devre dışı bırakmalı veya uygun güvenlik ayarlarının yapıldığından emin olmalıdır.
6,5 puan alan CVE-2024-45736, kontrolsüz kaynak tüketimi içeriyor ve bu, hazırlanmış bir arama sorgusu yürütülürse Splunk arka plan programının çökmesine neden olabilir. Kuruluşların, bir suiistimal girişimini gösterebilecek olağandışı arama sorgusu davranışlarını tespit etmek için izleme çözümleri uygulaması önerilir.
Düşük önem derecesine sahip güvenlik açıkları arasında, CVE-2024-457373,5 puanla, bir saldırganın Uygulama Anahtarı Değer Deposunun bakım modu durumunu değiştirmek için siteler arası istek sahteciliğinden (CSRF) yararlanmasına olanak tanır. Tekrar ediyorum, Splunk Web’i kapatmak bu riske karşı geçici bir çözüm olabilir.
Son olarak, her ikisi de 4,9 puan alan CVE-2024-45738 ve CVE-2024-45739, aşırı ayrıntılı günlük kaydı yapılandırmaları nedeniyle potansiyel olarak hassas HTTP parametrelerini ve düz metin şifrelerini açığa çıkararak orta düzeyde risk oluşturur. Kullanıcılar bu Splunk güvenlik açıklarını azaltmak için kayıt düzeylerini ayarlamalı ve hassas günlüklerin dahili dizinlerden kaldırıldığından emin olmalıdır.
Çözüm
Splunk’taki güvenlik açıklarına yanıt olarak kuruluşlar, yazılımı düzenli olarak en son satıcı yamalarıyla güncellemek, kapsamlı güvenlik stratejileri geliştirmek, güvenlik duvarları ve erişim kontrollerini kullanarak kritik varlıkları izole etmek, güncel olay müdahale planlarını sürdürmek, güçlü izleme uygulamak gibi temel uygulamaları benimsemelidir. Araçlar ve gerekli yükseltmeler için sistemlerin proaktif olarak değerlendirilmesi. Bu önlemler, yetkisiz erişim ve veri ihlalleri gibi risklere karşı koruma sağlamak ve Splunk Enterprise kullanıcılarının dikkatli ve güvende kalmasını sağlamak için çok önemlidir.