Splunk, web siteleri, uygulamalar, sensörler ve cihazlar dahil olmak üzere çeşitli kaynaklardan gelen makine tarafından üretilen verileri aramak, analiz etmek ve görselleştirmek için tasarlanmış bir yazılım platformudur.
2024 yılında Splunk, müşteri tabanında dijital dayanıklılığı artırmak için Splunk’un yeteneklerinden yararlanmayı amaçlayan Cisco tarafından satın alındı.
Splunk, saldırganların uzaktan keyfi kod yürütmesine olanak tanıyabilecek Splunk Enterprise’daki birden fazla kritik güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Hem iç hem de dış güvenlik araştırmacıları tarafından keşfedilen açıklar Splunk Enterprise 9.0.x, 9.1.x ve 9.2.x sürümlerini etkiliyor.
Şirket, potansiyel riskleri azaltmak için kullanıcıların sistemlerini derhal güncellemeleri çağrısında bulunuyor.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Düzeltilen en ciddi sorunlar arasında şunlar yer alıyor:
- CVE-2024-36984: Bu güvenlik açığı, kimliği doğrulanmış bir kullanıcının serileştirilmiş oturum yükleri aracılığıyla keyfi kod yürütmesine olanak tanır. Bu istismar, Splunk Enterprise kurulumu içinde bir dosya yazmak için collect SPL komutunu kullanmayı içerir, bu daha sonra serileştirilmiş bir yük göndermek için kullanılabilir ve kod yürütülmesine yol açar. Bu kusur, Windows’ta 9.2.2, 9.1.5 ve 9.0.10’dan düşük Splunk Enterprise sürümlerini etkiler.
- CVE-2024-36985: Düşük ayrıcalıklı bir kullanıcı, splunk_archiver uygulamasına başvuran harici bir arama yoluyla uzaktan kod yürütülmesine neden olabilir. Güvenlik açığı, uygulama içindeki copybuckets.py adlı bir betikten kaynaklanır ve bu betik, kullanıcı tarafından sağlanan argümanlarla bir bash kabuğunu çalıştıran başka bir betiğe (erp_launcher.py) başvurur ve olası RCE’ye yol açar. Bu, 9.2.2, 9.1.5 ve 9.0.10’un altındaki Splunk Enterprise sürümlerini etkiler.
- CVE-2024-36991: Bu özel CVE’ye ilişkin ayrıntılar duyuruda açıkça bulunmamakla birlikte, son güncellemede düzeltilen kritik güvenlik açıklarının bir parçasıdır.
- CVE-2024-36983: Bu güvenlik açığı, harici aramalar kullanılarak komut enjeksiyonunu içerir. Kimliği doğrulanmış bir kullanıcı, kullanım dışı bırakılmış bir dahili işlevi çağıran harici bir arama oluşturabilir ve bu da Splunk platform örneği içinde kod enjeksiyonuna ve yürütülmesine olanak tanır. Bu, 9.2.2, 9.1.5 ve 9.0.10’un altındaki sürümleri etkiler.
- CVE-2024-36982: Bu kusur, bir saldırganın küme/yapılandırma REST uç noktasında boş bir işaretçi referansını tetiklemesine izin verir ve bu da Splunk daemon’unun çökmesine neden olur. Bu, 9.2.2, 9.1.5 ve 9.0.10’un altındaki sürümleri etkiler.
Ayrıca, saldırganların kullanıcıların tarayıcılarında kötü amaçlı JavaScript çalıştırmalarına olanak tanıyan çeşitli çapraz site betik çalıştırma (XSS) güvenlik açıkları da giderildi.
Pazartesi günü yayınlanan Splunk’un son güncellemeleri, hem Kurumsal hem de Bulut Platformu ürünlerini etkileyen orta düzeydeki güvenlik açıklarını da hedef alıyor.
Splunk kullanıcıların en son yamalı sürümlere yükseltme yapmasını şiddetle öneriyor:
- 9.0.10 veya üzeri
- 9.1.5 veya üzeri
- 9.2.2 veya üzeri
Şirket, Splunk Cloud Platform örneklerinin de yamalandığını ve izlendiğini belirtti.
Bu güvenlik açıkları, özellikle hassas verileri işleyen Splunk gibi kritik kurumsal yazılımlar için güvenlik güncellemelerinin derhal uygulanmasının önemini vurgulamaktadır. Splunk Enterprise’ın etkilenen sürümlerini kullanan kuruluşlar, istismar riskini azaltmak için yükseltmeyi önceliklendirmelidir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files