بهره‌برداری از Splunk برای اجرای کدهای مخرب

آسیب‌پذیری‌هایی با شدت بالا در Splunk به مهاجم احراز هویت نشده اجازه می‌دهند با اجرای کد مخرب به سطح دسترسی برسد و از سیستم بهره‌برداری کند.

به گزارش افتانا، سه آسیب‌پذیری به شناسه‌های CVE-2024-45733، CVE-2024-45732، CVE-2024-45731 با شدت بالا در Splunk شناسایی شده ‌است که مهاجم احراز هویت نشده می‌تواند از طریق آنها با اجرای کد مخرب به سطح دسترسی برسد و از سیستم بهره‌برداری کند.

آسیب‌پذیری با شناسه CVE-2024-45731 و با شدت 8.0 (بالا) در نسخه‌های قدیمی‌تر Splunk Enterprise کشف شده است و برای ویندوز قبل از 9.3.1، 9.2.3 و 9.1.6 است و به کاربران با سطح دسترسی پایین‌تر admin-power اجازه می‌دهد فایل‌ها را در دایرکتوری ریشه سیستم ویندوز (معمولاً در پوشه Windows System32 ) ایجاد کنند. این نقص امنیتی زمانی رخ می‌دهد که Splunk Enterprise در درایو جداگانه‌ای نصب شده باشد.

آسیب‌پذیری با شناسه CVE-2024-45732 و با شدت 7.1 (بالا) در نسخه‌های قدیمی‌تر Splunk Cloud Platform و Splunk Enterprise قبل از9.3.1، 9.2.3، 9.2.2403.103، 9.1.2312.200، 9.1.2312.110 و 9.1.2308.208 کشف شده است. این آسیب‌پذیری به کاربران با سطح دسترسی پایین‌تر از admin یا power این اجازه را می‌دهد با استفاده از برنامه SplunkDeploymentServerConfig، با جست‌وجو به عنوان کاربر "nobody" اجرا کنند.

آسیب‌پذیری شناسه CVE-2024-45733 با شدت 8.8 (بالا) در نسخه‌های قدیمی تر از 9.2.3 و 9.1.6 کشف شده است که به مهاجمان با سطح دسترسی پایین‌تر از (admin یا power) این اجازه را می‌دهد با بهره‌برداری از پیکربندی نادرست ذخیره‌سازی جلسات، کد دلخواه خود را بر روی سیستم اجرا کنند و دسترسی کامل سیستم برسند.