Splunk, dünya çapında en çok kullanılan SIEM (Güvenlik Olayı ve Olay Yönetimi) araçlarından biridir.
Splunk, daha sonra güvenlik olaylarını araştırmak için kullanılabilecek tüm yapılandırılmış olayların günlüklerini toplayabilir.
Son raporlara göre Splunk, keşfedilen ve bildirilen bir Ayrıcalık yükseltme güvenlik açığına karşı savunmasızdı.
Şirket, bu güvenlik açığını tüm Splunk sürümlerinde hemen yamaladı.
CVE-2023-32707: “edit_user” Yeteneği Ayrıcalığı Yükseltme
Düşük ayrıcalıklara sahip olan ve ‘kullanıcıyı düzenleyeteneği, Splunk’a özel hazırlanmış bir web isteği göndererek ayrıcalıklarını bir yönetici kullanıcıya yükseltebilir.
Bunun nedeni şuydu: ‘kullanıcıyı düzenle’ içindeki ‘grantableRole’ ayarıyla bağlantı kurmuyor yetkilendirme.conf Bu ayrıcalık yükseltme güvenlik açığını önleyebilecek yapılandırma dosyası.
Etkilenen Ürünler ve Düzeltme:
Aşağıdaki Tablo, etkilenen ürünleri ve düzeltilen sürümü göstermektedir.
| Ürün | Sürüm | Bileşen | Etkilenen Sürüm | Düzeltme Sürümü |
| Splunk Kurumsal | 8.1 | Splunk Web | 8.1.0 – 8.1.13 | 8.1.14 |
| Splunk Kurumsal | 8.2 | Splunk Web | 8.2.0 – 8.2.10 | 8.2.11 |
| Splunk Kurumsal | 9 | Splunk Web | 9.0.0 – 9.0.4 | 9.0.5 |
| Splunk Bulut Platformu | Splunk Web | 9.0.2303 ve altı | 9.0.2303.100 |
Azaltmalar ve Geçici Çözümler:
- Yöneticiler dışında başka hiçbir kullanıcı ‘edit_user’ yeteneğine sahip olmamalıdır.
- Diğer rollerin devralınacağı bir “edit_user” rolü sağlamayın.
- Düşük veya hiç ayrıcalığı olmayan kullanıcılara ‘edit_user’ özelliğini atamayın.
Tüm Splunk kullanıcılarının Splunk sürümlerini en son sürümlere yükseltmeleri önerilir.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin
