Windows’ta Splunk Universal Forwinger, Admin Olmayan Kullanıcıların tüm içeriğe erişmesine izin verir

Dizin erişim denetimlerini tehlikeye atan Windows için Splunk Universal Forwinger’da yüksek şiddetli bir güvenlik açığı ortaya çıkarıldı.

CVSSV3.1 skoru 8.0 ile belirlenen CVE-2025-20298, yazılımın birden fazla sürümünü etkiler ve Splunk’ın veri yönlendirme özelliklerine dayanan kurumsal ortamlar için önemli güvenlik riskleri oluşturur.

Güvenlik açığı, Windows için evrensel ileticinin kurulumu veya yükseltilmesi sırasında yanlış izin atamasından kaynaklanır.

İzin Atama Güvenlik Açığı

Bu güvenlik kusuru, erişim kontrol mekanizmalarıyla ilgili temel bir sorunu gösteren CWE-732 (kritik kaynak için yanlış izin ataması) altında sınıflandırılır.

Güvenlik açığı, 9.4.2, 9.3.4, 9.2.6 ve 9.1.9’un altındaki Windows sürümleri için evrensel iletici, etkilenen bir sürüme yeni yüklendiğinde veya yükseltildiğinde ortaya çıkar.

Bu işlemler sırasında, tipik olarak C: \ Program Files \ SplunkUniversalforwarder’da bulunan kurulum dizini, yönetici olmayan kullanıcıların dizine ve tüm içeriğine erişmesine izin veren yanlış izinleri yeniden düzenler.

Bu, kurumsal güvenlik çerçevelerinin temel taşı olan en az ayrıcalık ilkesinin önemli bir ihlalini temsil eder.

CVSSV3.1 vektörü CVSS: 3.1/AV: N/AC: L/PR: L/UI: R/S: U/C: H/I: H/A: H, saldırı düşük seviyeli ayrıcalıklar ve kullanıcı etkileşimi gerektirse de, gizlilik, bütünlük ve kullanılabilirlik arasında yüksek etkiye neden olabileceğini gösterir.

Ağ saldırısı vektör bileşeni, belirli koşullar altında uzaktan sömürü potansiyeli önermektedir.

Bu kırılganlığın kapsamı, Windows için Splunk Universal Forweeter’ın dört ana serbest bırakma dalını etkileyen dikkate değerdir.

Özellikle, güvenlik açığı 9.4.2’nin altındaki 9.4 şubesindeki versiyonları, 9.3.4’ün altındaki 9.3 şubesini, 9.2.6’nın altında 9.2 şubesini ve 9.1 şubesini 9.1.9’un altında etkiler.

Bu geniş sürüm kapsamı, çok sayıda işletme dağıtımının savunmasız olabileceğini göstermektedir.

Güvenlik sonuçları, özellikle Windows sistemlerinden hassas günlük verilerini toplamak ve yönlendirmek için Splunk Universal Forwinger’ı kullanan kuruluşlar içindir.

Kurulum dizinine yetkisiz erişim elde eden yönetici olmayan kullanıcılar, yapılandırma dosyalarını potansiyel olarak görüntüleyebilir, iletilen verilere erişebilir ve hatta yönlendirme davranışını değiştirebilir.

Bu, veri açığa çıkmasına, denetim parkurlarına müdahale etmeye veya kritik izleme ve uyum işlevlerinin bozulmasına yol açabilir.

Azaltma stratejileri

Splunk, sabit sürümlere derhal yükseltme önerir: 9.4.2, 9.3.4, 9.2.6, 9.1.9 veya daha yüksek.

Kuruluşlar, yüksek şiddet derecesi ve ayrıcalık artış potansiyeli göz önüne alındığında bu güncellemelere öncelik vermelidir.

Hemen yükseltmenin mümkün olmadığı ortamlar için Splunk, Windows sistemi yöneticisi olarak yürütülmesi gereken belirli bir hafifletme komutu sağlar.

Çözüm, aşağıdaki ICACLS.EXE komutunu bir komut isteminden veya bir PowerShell penceresinden çalıştırmayı içerir:

Bu ICACLS komutu, yerleşik kullanıcılar grubunu ( *Bu tarafından temsil edilir) yükleme dizininden hedefleyerek sorunlu izinleri kaldırır.

/Kaldır: g parametresi belirli grup izinlerini kaldırırken, /c bayrağı karşılaşılan hatalara rağmen işlemi sürdürür.

Kuruluşlar bu hafifletmeyi üç özel senaryoda uygulamalıdır: etkilenen sürümlerin yeni kurulumları, etkilenen sürümlere yükseltmeler ve mevcut etkilenen Splunk kurulumlarının kaldırılmasını ve yeniden yüklenmesini içeren durumlar.

Sistem yöneticileri, yetkisiz erişimi önlemek için bu işlemlerden hemen sonra bu düzeltmeyi uygulamalıdır.

Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği