Splunk BT Hizmeti İstihbaratı Kusuru, Saldırganın ANSI Kodlarını Enjekte Etmesine İzin Veriyor


Splunk BT Hizmeti İstihbaratı Kusuru, Saldırganın Günlük Dosyalarına ANSI Kodları Yerleştirmesine İzin Veriyor

Splunk’un, Splunk BT Hizmet İstihbaratı (ITSI) ürününde Kimlik Doğrulanmamış Günlük ekleme güvenlik açığı olduğu bildirildi. Bu güvenlik açığı Splunk ITSI 4.13.3 veya 4.15.3’ten önceki sürümlerde mevcuttur.

Splunk ITSI, kullanıcılara kritik BT ve iş hizmetleri ile bunların altyapılarının durumu hakkında görünürlük sağlayan Yapay Zeka Operasyonları (AIOps) destekli bir izleme ve analiz çözümüdür.

CVE(ler):

CVE-2023-4571: Splunk BT Hizmet İstihbaratında (ITSI) Kimliği Doğrulanmamış Günlük Ekleme

Bu güvenlik açığı, bir tehdit aktörü tarafından Splunk ITSI günlük dosyalarının içine, güvenlik açığı bulunan bir terminal uygulamasının okuması durumunda güvenlik açığı bulunan uygulamada kötü amaçlı kod çalıştırabilecek bir Amerikan Ulusal Standart Enstitüsü (ANSI) kaçış kodu enjekte edilerek kullanılabilir.

Ancak bu güvenlik açığı kullanıcı etkileşimlerinin gerçekleştirilmesini gerektirmektedir. Kullanıcının, güvenlik açığı bulunan terminaldeki ANSI kaçış kodlarını çeviren bir terminal uygulamasını kullanarak kötü amaçlı günlük dosyasını okuması gerekir.

Bu güvenlik açığı, tehdit aktörleri tarafından, kötü amaçlı dosyayı Splunk ITSI’den kopyalamak ve yerel makinelerinde okumak gibi kötü amaçlı eylemler gerçekleştirmek için kullanılabilir.

Bu güvenlik açığının Splunk ITSI üzerindeki etkisi, güvenlik açığı bulunan terminal uygulamasındaki izne bağlı olarak değişiklik gösterebilir. Bu güvenlik açığının CVSS puanı 8,6 olarak verilmiştir (Yüksek).

İyileştirme

Güvenlik tavsiyesi uyarınca Splunk, kullanıcılarından bu güvenlik açığını düzeltmek için 4.13.3 veya 4.15.3 sürümüne yükseltmelerini talep etti. Ancak yükseltme öncesindeki günlükler hala risk altında olabilir. Bunu azaltmak için kullanıcılara şunları yapmaları önerilir:

  • $SPLUNK_HOME/var/log/splunk/ veya $SPLUNK_HOME/var/run/splunk/dispatch//itsi_search.log içindeki mevcut ITSI günlük dosyalarını kaldırın
  • Windows durumunda, günlük dosyaları %SPLUNK_HOME%\var\log\splunk ve %SPLUNK_HOME%\var\run\splunk\dispatch\\itsi_search.log dosyasında mevcuttur ve bunların kaldırılması gerekir.

Etkilenen ürünler

Ürün Sürüm Bileşen Etkilenen Sürüm Sürümü Onar
ITSI Splunk 4.13 4.13.0 ila 4.13.2 4.13.3
ITSI Splunk 4.15 4.15.0 ila 4.15.2 4.15.3

Splunk ITSI kullanıcılarının bu güvenlik açığını gidermek için en son sürüme yükseltmeleri ve sağlanan azaltma adımlarını izlemeleri önerilir. Kuruluşlar, farklı bakış açılarından birden fazla tehdit aktörü tarafından hedef alınıyor.

Felaket olaylarını önlemek için tespit edilen tüm güvenlik açıklarına karşı önlem almanın ve bunları uygun şekilde yamamanın tam zamanı.

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link