Splunk, Enterprise ürününde, saldırganların etkilenen sistemlerde uzaktan kod çalıştırmasına izin verebilecek çeşitli yüksek önemdeki güvenlik açıkları için yamalar yayınladı. Güvenlik açıkları, Splunk Enterprise ve Splunk Cloud Platform’un birden fazla sürümünü etkiliyor.
CVE-2024-45733 olarak takip edilen en kritik kusurlardan biri, Splunk Enterprise for Windows’un 9.2.3 ve 9.1.6’nın altındaki sürümlerini etkiliyor.
Bu güvenlik açığı, yönetici veya yetkili rolü olmayan düşük ayrıcalıklı bir kullanıcının, güvenli olmayan oturum depolama yapılandırması nedeniyle uzaktan kod yürütmesine olanak tanır. Splunk bu güvenlik açığını CVSS puanı 8,8 ile Yüksek önem derecesi olarak derecelendirdi.
Bir başka yüksek önem dereceli güvenlik açığı olan CVE-2024-45731, Splunk Enterprise for Windows’un 9.3.1, 9.2.3 ve 9.1.6’nın altındaki sürümlerini etkiliyor.
Splunk ayrı bir sürücüye yüklendiğinde, düşük ayrıcalıklı bir kullanıcının Windows sistem kök dizinine dosya yazmasına olanak tanır. Bu, potansiyel olarak, yüklenirse uzaktan kod yürütülmesine neden olabilecek kötü amaçlı DLL’lerin yazılmasına izin verebilir.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Üçüncü bir güvenlik açığı olan CVE-2024-45732, Splunk Enterprise ve Splunk Cloud Platform’un birden fazla sürümünü etkiliyor. Düşük ayrıcalıklı kullanıcıların SplunkDeploymentServerConfig uygulamasında “hiç kimse” kullanıcısı olarak arama yapmasına ve potansiyel olarak kısıtlı verilere erişmesine olanak tanır.
Splunk, bu güvenlik açıklarını gidermek için yamalar yayınladı ve kullanıcıların derhal en son sürümlere yükseltme yapmalarını öneriyor.
Splunk Enterprise için kullanıcılar, mevcut sürümlerine bağlı olarak 9.3.1, 9.2.3, 9.1.6 veya daha yüksek sürümlere yükseltme yapmalıdır. Splunk Bulut Platformu örnekleri şirket tarafından aktif olarak izleniyor ve yamalanıyor.
Uzaktan kod yürütme kusurlarına ek olarak Splunk, Amazon Web Hizmetleri için Splunk Eklentisinde kullanılan üçüncü taraf paketlerdeki çeşitli güvenlik açıklarını da yamaladı. Bunlara idna ve certifi paketlerindeki yüksek önemdeki kusurlar da dahildir.
Bu güvenlik açıkları öncelikle Splunk Web’in etkinleştirildiği örnekleri etkiler. Splunk bu sorunları çözmek için yamalar yayınladı ve kullanıcıların en son sürümlere yükseltmelerini şiddetle tavsiye ediyor:
- Splunk Enterprise: 9.3.1, 9.2.3 ve 9.1.6 veya üzeri
- Splunk Bulut Platformu: 9.2.2403.103, 9.1.2312.200, 9.1.2312.110 ve 9.1.2308.208 veya üzeri
Splunk, hemen güncelleme yapamayan kullanıcılar için birkaç önlem önermektedir:
- Etkilenen sistemlerde, özellikle de dağıtılmış ortamlardaki dizin oluşturucularda Splunk Web’i devre dışı bırakın.
- Bilgi nesnelerine yazma erişimini kısıtlamak için SplunkDeploymentServerConfig uygulamasında local.meta dosyasını değiştirin.
- Splunk Enterprise’ın sistem sürücüsünden ayrı bir diske kurulmadığından emin olun.
Etkilenen Splunk ürünlerini kullanan kuruluşların, kötüye kullanım riskini azaltmak için güvenlik önerilerini incelemeleri ve gerekli güncellemeleri mümkün olan en kısa sürede uygulamaları şiddetle tavsiye edilir.
Bu güvenlik açıklarının keşfedilmesi, özellikle Splunk gibi kritik altyapı ve güvenlik izleme araçları için güvenlik güncellemelerinin derhal uygulanmasının önemini vurgulamaktadır. Saldırganlar, kuruluşlar genelindeki hassas verilere ve sistemlere ayrıcalıklı erişimleri nedeniyle sıklıkla bu tür platformları hedef alıyor.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)