Splunk Enterprise Yerel Dosya Dahil Etme Güvenlik Açığı İçin PoC Açığı Yayımlandı

   Temmuz 10, 2024  Posted in CyberSecurityNews


PoC splunk Kurumsal Yerel Dosya Dahil Etme

Splunk Enterprise’da kritik bir yerel dosya ekleme güvenlik açığı olan CVE-2024-36991 için bir kavram kanıtı (PoC) açığı yayımlandı.

Bu güvenlik açığı, özellikle Windows sistemlerinde Splunk Enterprise’ın 9.2.2, 9.1.5 ve 9.0.10’dan önceki sürümlerini etkiliyor.

DÖRT

Bu güvenlik açığı Python’daki bir kusurdan kaynaklanmaktadır os.path.join işlev, oluşturulan yoldaki sürücüyle eşleşiyorsa sürücü harfini kaldırarak yol belirteçlerini uygunsuz şekilde işler.

Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.

Bu kusur, bir saldırganın uç noktada bir yol geçiş saldırısı gerçekleştirmesine olanak tanır ve potansiyel olarak sistemdeki hassas dosyalara yetkisiz erişimi etkinleştirir. Sorun, Splunk Web etkinleştirilmiş Windows’ta çalışan Splunk Enterprise örnekleriyle sınırlıdır.

Bilgiyi Kullanın

Güvenlik araştırmacısı Danylo Dmytriiev tarafından geliştirilen CVE-2024-36991 için PoC istismarı, bir saldırganın bu güvenlik açığından yararlanarak verileri nasıl okuyabileceğini gösteriyor. passwd Splunk Enterprise sunucusundaki dosya.

İstismar betiği Python 3.6 veya üzerini gerektirir ve requests Kütüphane. Tek bir URL’yi hedefleyebilir veya bir dosyada listelenen birden fazla hedefi tarayabilir.

Kullanım Talimatları:

  python CVE-2024-36991.py -u https://target:9090
  python CVE-2024-36991.py -f targets.txt

Azaltma ve Öneriler

Bu güvenlik açığına karşı korunmak için Splunk Enterprise’ı 9.2.2, 9.1.5 veya 9.0.10 veya daha yüksek sürümlere yükseltmeniz önerilir. Ek bir önlem olarak, yöneticiler gerekmediği takdirde Splunk Web’i devre dışı bırakabilir. Splunk Web’i devre dışı bırakma talimatları şu adreste bulunabilir: web.conf yapılandırma spesifikasyon dosyası.

Güvenlik açığı yüksek önem derecesine sahip olarak derecelendirildi ve CVSSv3 puanı 7.5 olarak belirlendi. Uzaktan, kimliği doğrulanmamış saldırganların etkilenen sistemlerdeki keyfi dosyalardan hassas bilgileri okumasına olanak tanıyarak önemli bir risk oluşturuyor.

Bilgi ifşasının potansiyeli göz önüne alındığında, yöneticilerin önerilen güncellemeleri ve hafifletmeleri derhal uygulaması gerekir.

Windows’ta Splunk Enterprise kullanan kuruluşlar, en son sürümlere yükseltmeyi önceliklendirmeli ve istismar riskini azaltmak için gereksiz bileşenleri devre dışı bırakmayı değerlendirmelidir.

"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo



Source link