Splunk, tüm dünyada en çok kullanılan Güvenlik Olayı ve Olay Yönetimi (SIEM) araçlarından biridir. Splunk, yapılandırılan tüm olayların günlüklerini toplama yeteneğine sahiptir ve bunlar daha sonra gelecekte güvenlik sorunlarını analiz etmek için kullanılabilir.
Son raporlara göre Splunk, bulunan ve bildirilen bir ayrıcalık yükseltme güvenlik açığına açıktı. Bu güvenlik açığı tespit edildi ve bildirildi.
Bu güvenlik açığı, firma tarafından Splunk’ın tüm sürümlerinde mümkün olan en kısa sürede düzeltildi.
“edit_user”, CVE-2023-32707 güvenlik açığıdır. Yeteneklerin ve Ayrıcalıkların Yükseltilmesi
Splunk’a özenle hazırlanmış bir web isteği göndererek, ‘edit_user’ yetenek eylemini gerçekleştirebilen sınırlı ayrıcalıklara sahip bir kullanıcı bile durumunu yönetici kullanıcı konumuna yükseltebilir. Authorize.conf dosyasındaki edit_user’ yapılandırma seçeneği, dosyadaki bu ayrıcalık yükseltme güvenlik açığını önleyebilecek bir parametre olan ‘grantableRole’ ayarıyla bağlantı oluşturmaz.
Geçici çözümler ve azaltmalar yöneticiler dışında başka hiçbir kullanıcının kendi profillerini güncelleyemeyeceğinden emin olunmalıdır (“edit_user” yeteneği). Kalıtımı kolaylaştırmak için diğer rollerin devralabileceği bir “edit_user” rolü teklif etmeyin. hakların kendilerine atanmış ‘edit_user’ yeteneği olmamalıdır.
Tüm Splunk kullanıcılarının Splunk kurulumlarını mevcut olan en son sürüme güncellemeleri şiddetle tavsiye edilir.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.