Уязвимость в приложении Splunk Secure Gateway позволяет злоумышленникам выполнять удалённый код
В приложении Splunk Secure Gateway и платформе Splunk Enterprise обнаружена уязвимость безопасности (CVE-2024-53247). Эта уязвимость позволяет злоумышленникам использовать низкоуровневые права пользователя для выполнения произвольного кода удалённо, что представляет серьёзную угрозу безопасности.
Детали уязвимости
Уязвимость затрагивает несколько версий Splunk Enterprise и Splunk Cloud Platform с приложением Splunk Secure Gateway. Она связана с небезопасной десериализацией данных из-за неправильного использования библиотеки Python jsonpickle. Это позволяет злоумышленникам выполнять код без прав администратора или других высокоуровневых привилегий.
Версии, подверженные уязвимости:
- Splunk Enterprise: Все версии ниже 9.3.2, 9.2.4 и 9.1.7
- Splunk Secure Gateway (Splunk Cloud Platform): Все версии ниже 3.2.461 и 3.7.13
Уязвимость оценена как критическая с рейтингом CVSSv3.1 8.8 баллов.
Действия компании Splunk
Для устранения данной уязвимости компания Splunk выпустила соответствующие обновления и настоятельно рекомендует пользователям обновить свои системы:
- Splunk Enterprise: Версии 9.3.2, 9.2.4, 9.1.7 или выше
- Splunk Secure Gateway (Splunk Cloud Platform): На платформе Splunk Cloud все затронутые случаи активно отслеживаются и устраняются.
Временные меры
Если обновление невозможно, пользователи могут принять временные меры:
- Отключить или удалить приложение Splunk Secure Gateway, если не используются функции Splunk Mobile, Spacebridge или Mission Control.
- Однако важно учитывать, что отключение приложения приведёт к недоступности указанных функций.
Риски и угрозы
Splunk широко используется в управлении логами, управлении информацией о безопасности и событиях (SIEM) в корпоративной среде. Уязвимость может угрожать множеству организаций в разных отраслях. Возможные последствия эксплуатации уязвимости:
- Удалённое выполнение кода
- Несанкционированный доступ к конфиденциальным данным
- Полный контроль над системой
- Проведение других атак внутри сети
Рекомендации
Организациям, использующим Splunk Enterprise или Splunk Cloud Platform, рекомендуется немедленно проверить свои системы и установить необходимые обновления. Высокая степень риска (8.8 баллов) подчёркивает важность принятия мер.
Кроме того, необходимо соблюдать следующие меры безопасности:
- Регулярно обновлять программное обеспечение
- Удалять неиспользуемые компоненты
- Постоянно мониторить и анализировать активность системы
- Использовать защитные экраны и другие инструменты обеспечения безопасности
В условиях усложняющихся киберугроз регулярное обновление программного обеспечения и проактивное управление безопасностью остаются ключевыми методами защиты.
