Splunk Enterprise’da, bir saldırganın kötü amaçlı dosyalar yüklemesine olanak tanıyan yüksek önem derecesine sahip bir Uzaktan Kod Yürütme (RCE) kusuru keşfedildi.
Splunk Enterprise’ın 9.0.7 ve 9.1.2’den düşük sürümleri, kullanıcı tarafından sağlanan genişletilmiş stil sayfası dil dönüşümlerini (XSLT) gerektiği gibi temizlemez. Bu, bir saldırgan tarafından kötü amaçlı bir XSLT’nin yüklenebileceği ve Splunk Enterprise örneğinde uzaktan kod yürütülmesine neden olabileceği anlamına gelir.
Splunk RCE Kusurunun Özellikleri
CVSSv3.1 Puanı 8,0 olan bu güvenlik açığı, yüksek önem derecesine sahip olarak sınıflandırılır ve CVE-2023-46214 olarak izlenir.
Splunk tavsiyesine göre “Splunk Enterprise’ın 9.0.7 ve 9.1.2’nin altındaki sürümlerinde Splunk Enterprise, kullanıcıların sağladığı genişletilebilir stil sayfası dil dönüşümlerini (XSLT) güvenli bir şekilde sterilize etmiyor”.
Saldırı uzaktan tetiklenebilir ve değişiklik XML enjeksiyonuna neden olur. Ürün, XML’in özel öğelerini uygun şekilde etkisiz hale getirmediğinden, saldırganlar, uç sistem tarafından işlenmeden önce XML komutlarını, içeriğini veya sözdizimini değiştirebilir.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Güvenlik açığının belirlenmesine yönelik süreci, istismar kavramının tam kanıtını ve CVE açıklamasını kullanarak özetleyen bir araştırmacıya göre, aşağıdaki adımlar izlendi:
- Geçerli XSL dosyası hazırlandı
- Güvenlik açığı koduna ulaşmak için belirlenen gereksinimler
- Tanımlanan savunmasız uç nokta
- Tahmin edilebilir yükleme dosyası konumu
- Senaryonun nereye yazılacağını bilin
- Betiği çalıştır
Sabit Sürüm
Öneri
Kullanıcıların Splunk Enterprise sürüm 9.0.7 veya 9.1.2’ye güncellemeleri önerilir.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.