Splunk Enterprise’da (CVE-2023-46214) uzaktan kod yürütülmesine yol açabilecek yüksek önemdeki bir kusura yönelik bir kavram kanıtlama (PoC) istismarı kamuya açıklandı.
Kullanıcıların sağlanan yamaları veya geçici çözümleri hızlı bir şekilde uygulamaları önerilir.
CVE-2023-46214 Hakkında
Splunk Enterprise, bir veri analizi ve görselleştirme platformudur. Splunk, büyük veri setlerinden değerli bilgiler çıkarmak için kullanılan bir araçtır ve genellikle log dosyaları, etkinlik günlükleri, metin dosyaları ve diğer veri kaynaklarından gelen verileri indeksleyip sorgulamak için ve BT operasyonlarını ve daha fazlasını iyileştirmeye yönelik yararlı bilgiler oluşturmak için kullanılır.
CVE-2023-46214, Splunk Enterprise’ın kullanıcıların sağladığı genişletilebilir stil sayfası dili dönüşümlerini (XSLT) güvenli bir şekilde temizlemedeki başarısızlığından kaynaklanmaktadır.
Şirket, “Bu, bir saldırganın Splunk Enterprise örneğinde uzaktan kod yürütülmesine neden olabilecek kötü amaçlı XSLT yükleyebileceği anlamına geliyor” dedi.
Danışma belgesine göre CVE-2023-46214, Splunk Enterprise’ın 9.0.0 ila 9.0.6 ve 9.1.0 ila 9.1.1 sürümlerini etkiliyor. BT güvenlik uzmanı ve SANS ISC sorumlusu Bojan Zdrnja, bu durumun artık desteklenmeyen Splunk v8.x’i de etkilediğini söylüyor .
9.1.2308’in altındaki Splunk Cloud sürümleri de etkilenmektedir. Şirket, “Splunk, Splunk Bulut Platformu örneklerini aktif olarak izliyor ve yamalıyor” diye ekledi.
CVE-2023-46214 PoC ve Risk Azaltma
Bir güvenlik açığı araştırmacısı, CVE-2023-46214’ün ayrıntılı bir analizini yayınladı ve yararlanılması için gereken adımları bir Python komut dosyasında birleştirdi. Belirli önkoşullar karşılanırsa komut dosyası uzak bir komut istemi açmalıdır.
Saldırı uzaktan gerçekleştirilebilir ancak önceden kimlik doğrulama (geçerli kimlik bilgileri bilgisi) ve bir miktar kullanıcı etkileşimi gerektirir.
Yöneticilere örneklerini 9.0.7 ve 9.1.2 sürümlerine yükseltmeleri veya yükseltme yapamıyorlarsa arama işi isteklerinin XML stil sayfası dilini (XSL) geçerli giriş olarak kabul etme yeteneğini sınırlamaları önerilir (web.conf dosya yapılandırmasını değiştirerek).
Splunk, “Daha önceki Splunk Enterprise sürümleri için, activeSearchJobXslt ayarının kullanılabilirliği için web.conf spesifikasyonunu inceleyin ” tavsiyesinde bulundu.
