Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Инструмент для взлома Splunk Enterprise угрожает сотням компаний

29/11/23

download-2

Независимый исследователь в сфере кибербезопасности выпустил Proof-of-Concept (PoC) эксплойт для использования RCE-уязвимости CVE-2023-46214 в популярной системе мониторинга и анализа данных Splunk, точнее в корпоративном продукте компании — Enterprise. Эксплойт позволяет удалённо выполнять произвольный код на уязвимых серверах, в связи с чем уязвимости присвоен высокий уровень опасности (8.8 баллов по шкале CVSS). Об этом передаёт Securitylab.

Splunk Enterprise представляет собой решение для сбора и анализа разнообразных данных, генерируемых инфраструктурой и бизнес-приложениями организации. Эти данные затем используются для получения полезных аналитических выводов, помогающих улучшить работу систем безопасности, соответствия требованиям, доставки приложений, IT-операций и других аспектов бизнеса.

Среди сотен клиентов Splunk множество компаний с мировым именем, включая Intel, Lenovo, Zoom, Bosch, Coca-Cola, Papa Johns, Honda, Puma и прочих.

Уязвимость CVE-2023-46214 связана с некорректной фильтрацией расширяемого языка таблиц стилей (XSLT), который пользователи Splunk могут загружать. Это даёт возможность потенциальным злоумышленникам передать вредоносный XSLT-код, который приведёт к удалённому выполнению кода на сервере Splunk Enterprise.

Согласно информации от разработчиков Splunk, уязвимость затрагивает версии с 9.0.0 до 9.0.6 и с 9.1.0 до 9.1.1. Также под ударом оказались версии Splunk Enterprise 8.x и облачный сервис Splunk Cloud ниже версии 9.1.2308.

Исследователь безопасности, опубликовавший эксплойт, рассмотрел уязвимость максимально подробно в отдельном отчёте. Согласно полученным данным, для запуска атаки требуется предварительная аутентификация в системе (знание валидных учётных данных пользователей), а также некоторые пользовательские действия на целевом сервере.

Разработчики Splunk уже выпустили обновления 9.0.7 и 9.1.2, устраняющие уязвимость CVE-2023-46214. Если немедленное обновление невозможно, в качестве временной меры рекомендуется отключить возможность загрузки XML-стилей для поисковых заданий. Кроме того, команда Splunk предоставила подробную информацию об уязвимости, которая может пригодиться специалистам по безопасности.

Темы:УгрозыPoC-эксплоиты
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...