07 Ara, 2023

Splunk Enterprise RCE Kusuru İçin PoC Yayınlandı

Splunk Enterprise’da (CVE-2023-46214) uzaktan kod yürütülmesine yol açabilecek yüksek önemdeki bir kusura yönelik bir kavram kanıtlama (PoC) istismarı kamuya açıklandı.

Kullanıcıların sağlanan yamaları veya geçici çözümleri hızlı bir şekilde uygulamaları önerilir.

CVE-2023-46214 Hakkında

Splunk Enterprise, bir veri analizi ve görselleştirme platformudur. Splunk, büyük veri setlerinden değerli bilgiler çıkarmak için kullanılan bir araçtır ve genellikle log dosyaları, etkinlik günlükleri, metin dosyaları ve diğer veri kaynaklarından gelen verileri indeksleyip sorgulamak için ve BT operasyonlarını ve daha fazlasını iyileştirmeye yönelik yararlı bilgiler oluşturmak için kullanılır.

CVE-2023-46214, Splunk Enterprise’ın kullanıcıların sağladığı genişletilebilir stil sayfası dili dönüşümlerini (XSLT) güvenli bir şekilde temizlemedeki başarısızlığından kaynaklanmaktadır.

Şirket, “Bu, bir saldırganın Splunk Enterprise örneğinde uzaktan kod yürütülmesine neden olabilecek kötü amaçlı XSLT yükleyebileceği anlamına geliyor” dedi.

Danışma belgesine göre CVE-2023-46214, Splunk Enterprise’ın 9.0.0 ila 9.0.6 ve 9.1.0 ila 9.1.1 sürümlerini etkiliyor. BT güvenlik uzmanı ve SANS ISC sorumlusu Bojan Zdrnja, bu durumun artık desteklenmeyen Splunk v8.x’i de etkilediğini söylüyor .

9.1.2308’in altındaki Splunk Cloud sürümleri de etkilenmektedir. Şirket, “Splunk, Splunk Bulut Platformu örneklerini aktif olarak izliyor ve yamalıyor” diye ekledi.

CVE-2023-46214 PoC ve Risk Azaltma

Bir güvenlik açığı araştırmacısı, CVE-2023-46214’ün ayrıntılı bir analizini yayınladı ve yararlanılması için gereken adımları bir Python komut dosyasında birleştirdi. Belirli önkoşullar karşılanırsa komut dosyası uzak bir komut istemi açmalıdır.

Saldırı uzaktan gerçekleştirilebilir ancak önceden kimlik doğrulama (geçerli kimlik bilgileri bilgisi) ve bir miktar kullanıcı etkileşimi gerektirir.

Yöneticilere örneklerini 9.0.7 ve 9.1.2 sürümlerine yükseltmeleri veya yükseltme yapamıyorlarsa arama işi isteklerinin XML stil sayfası dilini (XSL) geçerli giriş olarak kabul etme yeteneğini sınırlamaları önerilir (web.conf dosya yapılandırmasını değiştirerek).

Splunk, “Daha önceki Splunk Enterprise sürümleri için, activeSearchJobXslt ayarının kullanılabilirliği için web.conf spesifikasyonunu inceleyin ” tavsiyesinde bulundu.

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

İçerik Hakkında:
Splunk Enterprise'da uzaktan kod yürütülmesine yol açabilecek yüksek önemdeki bir kusura yönelik bir kavram kanıtlama istismarı kamuya açıklandı. Detaylar içeriğimizde.
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram