Splunk, Splunk Enterprise ve Cloud Platform’undaki 16 güvenlik açığını gidermek için kapsamlı bir güvenlik güncelleştirmeleri seti yayınladı. Bu güncelleştirmeler, kurumsal ortamlarda sağlam siber güvenlik uygulamalarını sürdürmenin kritik doğasını vurgulayan yüksek öneme sahip sorunlar da dahil olmak üzere çeşitli Splunk güvenlik açıklarının düzeltmelerini içeriyor.
Son güncellemeler arasında, Splunk Enterprise’daki Harici Arama aracılığıyla uzaktan kod yürütme (RCE) olan Splunk güvenlik açığı CVE-2024-36985, en kritik güvenlik açıklarından biridir. Bu güvenlik açığı, Splunk Enterprise’daki harici bir arama mekanizması aracılığıyla Uzaktan Kod Yürütme (RCE) riskini içerir.
Yeni Güncellemelerle Splunk Güvenlik Açığının Düzeltilmesi
Bu güvenlik açığı 9.0.10, 9.1.5 ve 9.2.2’den önceki sürümleri etkiler. Bu açığı kullanan saldırganlar, “splunk_archiver” uygulamasındaki “copybuckets.py” betiğini kullanarak keyfi komutlar yürütebilir. Bu sorun, riskleri azaltmak için en son Splunk sürümlerine derhal yükseltmenin veya etkilenen uygulamayı geçici olarak devre dışı bırakmanın önemini vurgular.
Başka bir önemli güvenlik açığı olan CVE-2024-36984, Windows’ta 9.2.2, 9.1.5 ve 9.0.10’dan düşük Splunk Enterprise sürümlerinde kimliği doğrulanmış kullanıcıların serileştirilmiş bir oturum yükü aracılığıyla keyfi kod yürütmesine olanak tanır. Bu istismar, güvenilmeyen veriler collect SPL komutu aracılığıyla serileştirildiğinde meydana gelir ve saldırganların yük içinde kötü amaçlı kod yürütmesine olanak tanır.
“Splunk bu güvenlik açığını 8.8, Yüksek olarak derecelendiriyor ve CVSSv3.1 vektörü CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Splunk Enterprise örneği splunk_archiver’ı devre dışı bıraktıysa, hiçbir etkisi olmaz ve ciddiyet Bilgilendirici olur” diyor Splunk.
Kapsamlı Güvenlik Önlemleri ve Öneriler
Splunk, kullanıcılarına bu güvenlik açıklarına karşı etkili bir şekilde korunmak için kurulumlarını en son sürümlere güncellemelerini tavsiye etti. Ek olarak, “splunk_archiver” uygulamasını devre dışı bırakmak gibi hafifletici eylemler, güncellemeler uygulanana kadar geçici koruma sağlayabilir. Şirket, kurumsal verileri ve altyapıyı korumak için proaktif güvenlik uygulamalarının ve hızlı yama yönetiminin önemini vurguluyor.
Bahsedilen kritik güvenlik açıklarına ek olarak, Splunk’un güvenlik güncellemeleri ayrıca çeşitli uç noktalardaki kalıcı çapraz site betikleme (XSS), komut enjeksiyonu, hizmet reddi (DoS) ve güvenli olmayan dosya yüklemeleri gibi sorunları da kapsar. Her sorun, sistem güvenliğini artırmak için uyarlanmış belirli yamalar veya azaltma önerileriyle ele alınır.
Splunk, bu güvenlik açıklarının vahşi doğada aktif olarak istismar edildiğini bildirmemiş olsa da, güvenlik güncellemelerinin proaktif olarak yayınlanması, platformlarının bütünlüğünü ve güvenliğini koruma konusundaki kararlılıklarını vurgular. Kullanıcılar, bu güncellemeleri uygulamaya koymaları ve olası riskleri etkili bir şekilde azaltmak için önerilen güvenlik uygulamalarını takip etmeleri konusunda şiddetle teşvik edilmektedir.
Bilgi sahibi olun ve Splunk dağıtımlarınızı ortaya çıkan tehditlere ve güvenlik açıklarına karşı korumak için siber güvenlik önlemlerine öncelik verin. Siber güvenlik alanında güvenli bir ortamı sürdürmenin anahtarı düzenli güncellemeler ve dikkattir.