Splunk hat am Mittwoch Patches für mehrere hochgradige Sicherheitslücken in Splunk Enterprise und IT Service Intelligence bekanntgegeben, einschließlich Schwachstellen in Drittanbieter-Paketen.
Die schwerwiegendste der behobenen Fehler in Splunk Enterprise in diesem Monat ist CVE-2023-40595 (CVSS-Score von 8,8), der als Problem bei der Ausführung von Remote Code beschrieben wird, das durch manipulierte Abfragen ausnutzbar ist.
„Der Exploit erfordert die Verwendung des Befehls ‚collect SPL‘, der eine Datei innerhalb der Splunk Enterprise-Installation schreibt. Der Angreifer kann diese Datei dann verwenden, um eine serialisierte Nutzlast zu übermitteln, die zur Ausführung von Code innerhalb der Nutzlast führen kann“, erklärt Splunk in einer Warnung.
Als nächstes folgt CVE-2023-40598, eine Schwachstelle für Befehlsschachtelung, die eine veraltete interne Funktion betrifft und ausgenutzt werden könnte, um beliebigen Code auszuführen.
„Die Schwachstelle dreht sich um den derzeit veralteten Befehl ‚runshellscript‘, den skriptgesteuerte Alarmaktionen verwenden. Dieser Befehl, zusammen mit externen Befehlssuchen, ermöglicht es einem Angreifer, diese Schwachstelle zu nutzen, um Befehle in einem privilegierten Kontext von der Splunk-Plattforminstanz aus einzufügen und auszuführen“, erläutert Splunk.
Die neuesten Versionen von Splunk Enterprise beheben auch eine Cross-Site-Scripting (XSS)-Schwachstelle (CVE-2023-40592), einen Fehler im absoluten Pfad-Durchlauf, der zur Code-Ausführung führt (CVE-2023-40597), und ein Problem mit der Privileg-Eskalation aufgrund eines unsicheren Pfadverweises in einer DLL (CVE-2023-40596).
Alle Schwachstellen wurden mit der Veröffentlichung von Splunk Enterprise-Versionen 8.2.12, 9.0.6 und 9.1.1 behoben, die auch zwei mittelgradige Denial-of-Service (DoS)-Schwachstellen patchen.
Am Mittwoch gab Splunk auch Patches für einen nicht authentifizierten Log-Injections-Fehler (CVE-2023-4571, CVSS-Score von 8,6) in IT Service Intelligence bekannt.
Die Schwachstelle ermöglicht es einem Angreifer, ANSI-Escape-Codes in Logdateien einzufügen, was zur Ausführung von bösartigem Code führt, wenn die Logdatei in einer verwundbaren Terminalanwendung gelesen wird.
Obwohl IT Service Intelligence nicht direkt von der Schwachstelle betroffen ist, resultiert eine indirekte Auswirkung aus den Berechtigungen, die die Terminalanwendung hat, sowie aus dem Ort und der Art und Weise, wie der Benutzer die bösartigen Logdateien liest.
Splunk hat die Schwachstelle in den Versionen 4.13.3 und 4.15.3 von IT Service Intelligence gepatcht.
Das Softwareunternehmen erwähnt nicht, dass eine dieser Schwachstellen in Angriffen ausgenutzt wurde. Weitere Informationen zu den Fehlern finden sich auf der Sicherheitshinweisseite von Splunk.
Die am Mittwoch von Splunk bekannt gegebenen Updates beheben auch mehrere hochgradige Probleme in Drittanbieter-Paketen, die in Splunk Enterprise, IT Service Intelligence und Universal Forwarder verwendet werden.