Splunk Enterprise 远程代码执行漏洞

• 漏洞编号：CVE-2023-40595
• 漏洞类型：远程代码执行(RCE)
• 漏洞等级：高危
• 发布时间：2023-08-30

漏洞描述：

Splunk是一个数据平台，可以帮助你收集、分析、可视化和利用各种来源的数据，以提高企业的效率和弹性。

Splunk发布安全公告，修复了Splunk Enterprise在8.2.12，9.0.6，9.1.1版本前的一个由反序列化导致的远程代码执行漏洞，漏洞编号：CVE-2023-40595，漏洞威胁等级：高危。

在低于 8.2.12、9.0.6 和 9.1.1 的 Splunk Enterprise 版本中，攻击者可以执行特殊查询，然后可以使用该查询反序列化不受信任的恶意数据，最终攻击者可以在服务器上执行任意代码。

该漏洞需要使用 SPL 命令，该命令在 Splunk Enterprise 安装中写入文件。攻击者可以使用此文件提交恶意的序列化数据，从而导致任意代码执行。

影响版本：

修复建议

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：
Splunk Enterprise 安全版本：

8.2.12

9.0.6

9.1.1

临时防护方案：

1. 如果用户未在分布式环境中登录索引器上的 Splunk Web，请在这些索引器上禁用 Splunk Web。有关禁用 Splunk Web 的更多信息，请参阅 Splunk 文档。

https://docs.splunk.com/Documentation/Splunk/latest/Security/DisableunnecessarySplunkcomponents。

https://docs.splunk.com/Documentation/Splunk/latest/Admin/Webconf。

2. 加强系统和网络的访问控制，修改防火墙策略，不将非必要服务暴露于公网；

3. 定期对服务器上的网站后门文件进行及时查杀。

参考链接:
https://advisory.splunk.com/advisories/SVD-2023-0804