SonicWall’un tehdit araştırmacılarına göre, Windows’taki Splunk Enterprise’ı etkileyen yakın zamanda düzeltilen bir güvenlik açığı (CVE-2024-36991), “ilk bakışta göründüğünden daha ciddi.”
BT danışmanı Mohamed Nabil Ali tarafından yapılan ve savunmasız internet uç noktaları için toplu tarama gerçekleştiren ve verileri okumaya çalışan bir PoC istismarı da dahil olmak üzere çeşitli PoC istismarları yayınlandı. /etc/passwd dosya.
CVE-2024-36991 Hakkında
Splunk Enterprise, kuruluşların ağ ve güvenlik cihazları, sunucular vb. gibi çeşitli kaynaklardan makine tarafından üretilen verileri toplamasına ve analiz etmesine olanak tanıyan bir veri analitiği ve izleme platformudur.
Danylo Dmytriiev tarafından keşfedilen CVE-2024-36991, platformun kullanıcı arayüzü olan Splunk Web’de bir yol geçiş güvenlik açığıdır ve saldırganların kısıtlı dizinin dışındaki dosyalara veya dizinlere erişmek için dosya sistemini dolaşmasına olanak tanır (/modüller/mesajlaşma/).
“Bu güvenlik açığı Python’dan kaynaklanmaktadır os.path.join SonicWall araştırmacıları, “Eğer belirteçteki sürücü, oluşturulan yoldaki sürücüyle eşleşirse, yol belirteçlerinden sürücü harfini kaldıran bir işlev” şeklinde açıklama yaptı.
Özel olarak hazırlanmış bir GET isteğiyle istismar edilebilir ve bir saldırganın Splunk uç noktasında bir dizin listelemesi yapmasına olanak tanır. Başarılı istismar, önceden kimlik doğrulaması gerektirmez.
“Bir saldırganın yalnızca örneğe uzaktan, yani İnternet veya yerel bir ağ üzerinden erişebilmesi gerekiyor” diye eklediler.
Sömürü riskinin azaltılması
CVE-2024-36991, yalnızca Windows’ta ve yalnızca Splunk Web bileşeni açıksa, Splunk Enterprise’ın 9.2.2, 9.1.5 ve 9.0.10’dan önceki sürümlerini etkiler.
“Splunk esas olarak geliştirme ortamlarıyla ünlü olsa da, Fofa’ya göre 230 bin kadar açık sunucuda Splunk çalıştırılıyor” ifadelerini kullanan tehdit araştırmacıları, yöneticilere yamayı derhal uygulamaları tavsiyesinde bulundu.
Splunk Web’i devre dışı bırakmak da istismar riskini ortadan kaldırır, ancak sabit bir sürüme yükseltme yapmak tercih edilir.
Splunk Tehdit Araştırma ekibi, /modules/messaging uç noktasına yönelik istismar girişimlerini tespit etmek için bir arama sorgusu sağladı.