菜单
漏洞描述:
Splunk是一个数据平台,可以帮助你收集、分析、可视化和利用各种来源的数据,以提高企业的效率和弹性。
Splunk发布安全公告,修复了Splunk Enterprise在8.2.12,9.0.6,9.1.1版本前的一个命令注入漏洞,漏洞编号:CVE-2023-40598,漏洞威胁等级:高危。
在低于 8.2.12、9.0.6 和 9.1.1 的 Splunk Enterprise 版本中,攻击者可以创建调用旧版内部函数的外部查找。攻击者可以使用此内部函数将代码插入到Splunk平台安装目录中,从而可以在Splunk平台实例上执行任意代码。
该漏洞围绕脚本化警报操作使用的当前已弃用的命令runshellscript展开。此命令以及外部命令查找允许攻击者利用此漏洞从 Splunk 平台实例在特权上下文中注入和执行命令。
影响版本:
Splunk Enterprise<8.2.12
Splunk Enterprise<9.0.6
Splunk Enterprise<9.1.1
修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
Splunk Enterprise 安全版本:
8.2.12
9.0.6
9.1.1
临时防护方案:
1. 如果用户未在分布式环境中登录索引器上的 Splunk Web,请在这些索引器上禁用 Splunk Web。有关禁用 Splunk Web 的更多信息,请参阅 Splunk 文档。
https://docs.splunk.com/Documentation/Splunk/latest/Security/DisableunnecessarySplunkcomponents。
https://docs.splunk.com/Documentation/Splunk/latest/Admin/Webconf。
2. 加强系统和网络的访问控制,修改防火墙策略,不将非必要服务暴露于公网;
3. 定期对服务器上的网站后门文件进行及时查杀。
参考链接:
https://advisory.splunk.com/advisories/SVD-2023-0807
粤公网安备 44010402002568号