Splunk Enterprise’da (CVE-2023-46214) uzaktan kod yürütülmesine yol açabilecek yüksek önemdeki bir kusura yönelik bir kavram kanıtlama (PoC) istismarı kamuya açıklandı.
Kullanıcıların sağlanan yamaları veya geçici çözümleri hızlı bir şekilde uygulamaları önerilir.
CVE-2023-46214 Hakkında
Splunk Enterprise, bir kuruluşun iş altyapısı ve uygulamaları tarafından oluşturulan çeşitli verileri alan bir çözümdür. Bu veriler, kuruluşun güvenliğini ve uyumluluğunu, uygulama sunumunu, BT operasyonlarını ve daha fazlasını iyileştirmeye yönelik yararlı bilgiler oluşturmak için kullanılır.
CVE-2023-46214, Splunk Enterprise’ın kullanıcıların sağladığı genişletilebilir stil sayfası dili dönüşümlerini (XSLT) güvenli bir şekilde temizlemedeki başarısızlığından kaynaklanmaktadır.
Şirket, “Bu, bir saldırganın Splunk Enterprise örneğinde uzaktan kod yürütülmesine neden olabilecek kötü amaçlı XSLT yükleyebileceği anlamına geliyor” dedi.
Danışma belgesine göre CVE-2023-46214, Splunk Enterprise’ın 9.0.0 ila 9.0.6 ve 9.1.0 ila 9.1.1 sürümlerini etkiliyor. BT güvenliği uzmanı ve SANS ISC yöneticisi Bojan Zdrnja diyor artık desteklenmeyen Splunk v8.x’i de etkilediğini söyledi.
9.1.2308’in altındaki Splunk Cloud sürümleri de etkilenir. Şirket, “Splunk, Splunk Bulut Platformu örneklerini aktif olarak izliyor ve yamalıyor” diye ekledi.
CVE-2023-46214 PoC ve risk azaltma
Bir güvenlik açığı araştırmacısı, CVE-2023-46214’ün ayrıntılı bir analizini yayınladı ve kötüye kullanım için gereken adımları bir Python komut dosyasında birleştirdi. Belirli önkoşullar karşılanırsa komut dosyası uzak bir komut istemi açmalıdır.
Saldırı uzaktan gerçekleştirilebilir ancak önceden kimlik doğrulama (geçerli kimlik bilgileri bilgisi) ve bir miktar kullanıcı etkileşimi gerektirir.
Yöneticilere örneklerini 9.0.7 ve 9.1.2 sürümlerine yükseltmeleri veya yükseltme yapamıyorlarsa arama işi isteklerinin XML stil sayfası dilini (XSL) geçerli giriş olarak kabul etme yeteneğini sınırlamaları önerilir (web.conf yapılandırmasını değiştirerek). dosya).
“Daha önceki Splunk Enterprise sürümleri için, web.conf spesifikasyonunun kullanılabilirliğini inceleyin. SearchJobXslt’yi etkinleştir ayarı,” diye tavsiyede bulundu Splunk.
Splunk’un Tehdit Araştırma ekibi ayrıca tehdit avcılarına yönelik tespitler de sağladı.