اصلاح چندین آسیب پذیری در اسپلانک

زمان مطالعه: 3 دقیقه

اسپلانک 27 مارس برابر با 8 فروردین، در بولتن امنیتیش خبر از اصلاح چند آسیب پذیری در محصولات مختلفش داده ، که در این پست بررسیشون کردیم.

 

آسیب پذیری CVE-2024-29945 :

آسیب پذیری در Splunk Enterprise هستش و امتیاز 7.2 و شدت بالا داره. اگه اسپلانک در حالت دیباگ اجرا بشه یا مولفه ی JsonWebToken طوری پیکربندی شده باشه که فعالیت های خودش رو در سطح لاگ های DEBUG ثبت کنه، میتونه توکن های احرازهویت رو در طول فرایند اعتبارسنجی توکن ها افشاء کنه.

بصورت پیش فرص Splunk Enterprise در حالت دیباگ اجرا میشه و احرازهویت توکن ها غیر فعال هستش. همچنین سطح لاگ فرایند JsonWebToken از نوع INFO هستش.

برای اکسپلویت مهاجم یا باید دسترسی محلی به فایلهای لاگ داشته باشه یا دسترسی مدیریتی .

نسخه های تحت تاثیر و اصلاح شده :

 

Product	Version	Component	Affected Version	Fix Version
Splunk Enterprise	9.2		9.2.0 تا 9.2.0.1	9.2.1
Splunk Enterprise	9.1		9.1.0 تا 9.1.3	9.1.4
Splunk Enterprise	9.0		9.0.0  تا 9.0.8	9.0.9

 

تشخیص حالت دیباگ :

• وارد Server Logging Settings در Splunk Web در مسیر زیر بشید:

 

 

• ستون Logging Level رو بررسی کنید، اگه داخلشون DEBUG رو دیدید، یعنی اسپلانک در حالت دیباگ هستش.

 

تشخیص سطح گزارش گیری برای فرایند JsonWebToken :

• در مسیر زیر دنبال پیکربندی JsonWebToken باشید :

 

 

• ستون Logging Level رو بررسی کنید، اگه داخلشون DEBUG رو دیدید، یعنی در سطح دیباگ فعالیت های خودش رو لاگ میکنه.

 

اگه با هر کدوم از موارد بالا روبرو شدید، یعنی تحت تاثیر آسیب پذیری هستید و برای حل مشکل میتونید کارهای زیر رو انجام بدید :

• اسپلانک به نسخه های 9.2.1, 9.1.4, 9.0.9 یا بالاتر ارتقاء بدید.
• فایلهای لاگ در مسیر زیرو پاک کنید :

 

 

• در Splunk Web از طریق دستور جستوی زیر، همه ی رویدادهای فایل لاگ برای مولفه ی JsonWebToken رو از internal index پاک کنید :

 

 

نکته : برای اجرای دستور delete SPL ، نیاز به رول can_delete دارید که بطور پیش فرض ادمین ها ندارنش.

اگه نمیتونید به هر دلیلی ، اسپلانک رو بروز کنید، از طریق این راهنما میتونید شدتش کاهش بدید.

 

 

آسیب پذیری CVE-2024-29946 :

آسیب پذیری در Splunk Enterprise و Splunk Cloud Platform هستش و امتیاز 8.1 و شدت بالا داره. Dashboard Examples Hub در برنامه ی Splunk Dashboard Studio ، محافظی برای اجرای یسری دستور SPL خطرناک نداره. برای اکسپلویت، مهاجم باید قربانی رو فریب بده تا درخواستی رو در مرورگرش اجرا کنه.

نسخه های تحت تاثیر و اصلاح شده :

 

Product	Version	Component	Affected Version	Fix Version
Splunk Enterprise	9.2	Splunk Dashboard Studio	9.2.0 تا 9.2.0.1	9.2.1
Splunk Enterprise	9.1	Splunk Dashboard Studio	9.1.0 تا 9.1.3	9.1.4
Splunk Enterprise	9.0	Splunk Dashboard Studio	9.0.0 تا 9.0.8	9.0.9
Splunk Cloud Platform	–	Splunk Dashboard Studio	پایین تر از 9.1.2312.100	9.1.2312.100

 

آسیب پذیری در پکیج های شخص ثالث:

اسپلانک همچنین یسری آسیب پذیری رو در پکیج های شخص ثالث ، در Splunk Enterprise رو اصلاح کرده :

 

Package	Remediation	CVE	Severity
Openssl	1.0.2zj	CVE-2024-0727, CVE-2023-5678	Low
net, go	0.2.0	CVE-2023-39325	High
go	1.20.10 تا 1.21.5	multiple	See vendor
hive-exec	3.1.3 تا 4.0.0-beta-1	multiple	See vendor
curl	8.0.1 تا 8.5.0	multiple	See vendor
pywin32	b306	CVE-2021-32559	Medium
jackson-databind	2.9.10 تا 2.13.5	multiple	See vendor

 

نسخه های تحت تاثیر و اصلاح شده :

 

Product	Version	Component	Affected Version	Fix Version
Splunk Enterprise	9.2		9.2.0 تا 9.2.0.1	9.2.1
Splunk Enterprise	9.1		9.1.0 تا 9.1.3	9.1.4
Splunk Enterprise	9.0		9.0.0 تا 9.0.8	9.0.9

 

همچنین یسری آسیب پذیری رو هم در پکیج های شخص ثالث ، در Splunk Universal Forwarder اصلاح کرده :

 

Package	Remediation	CVE	Severity
Openssl	1.0.2zj	CVE-2024-0727, CVE-2023-5678	Low
curl	8.0.1 تا 8.5.0	multiple	Informational

 

نسخه های تحت تاثیر و اصلاح شده :

 

Product	Version	Component	Affected Version	Fix Version
Splunk Universal Forwarder	9.2		9.2.0 تا 9.2.0.1	9.2.1
Splunk Universal Forwarder	9.1		9.1.0 تا 9.1.3	9.1.4
Splunk Universal Forwarder	9.0		9.0.0 تا 9.0.8	9.0.9

 

 

منبع