เมนู

Splunk แก้ไขช่องโหว่บน Splunk Enterprise รวมถึงข้อบกพร่องด้านปฏิบัติการโค้ดจากระยะไกล

8 กรกฏาคม 2567 | สืบสาย โสดานิล

Splunk แก้ไขช่องโหว่บน Splunk Enterprise รวมถึงข้อบกพร่องด้านปฏิบัติการโค้ดจากระยะไกล

รายละเอียด

Splunk ได้ประกาศแก้ไขจุดอ่อนใน Splunk Enterprise และ Cloud Platform รวมถึงจุดบกพร่องพบปัญหาที่ร้ายแรงคือข้อบกพร่องในการดำเนินโค้ดจากระยะไกลซึ่งต้องมีการตรวจสอบสิทธิ์จึงจะสามารถโจมตีได้สำเร็จ

ช่องโหว่แรกซึ่งติดตามเป็น CVE-2024-36985(8.8) อาจถูกผู้ใช้ที่มีสิทธิ์ใช้งานต่ำใช้ประโยชน์ผ่านการค้นหาที่อาจอ้างอิงถึงแอปพลิเคชัน ‘splunk_archiver’ ปัญหานี้ส่งผลต่อ Splunk Enterprise เวอร์ชัน 9.2.x, 9.1.x และ 9.0.x Splunk Enterprise เวอร์ชัน 9.2.2, 9.1.5 และ 9.0.10 ได้แก้ไขช่องโหว่ดังกล่าวแล้ว โดยสามารถบรรเทาข้อบกพร่องดังกล่าวได้โดยการปิดใช้งานแอปพลิเคชัน ‘splunk_archiver’

ผลกระทบ

  • ผู้โจมตีที่ใช้สิทธิ์ต่ำสามารถยกระดับสิทธิ์ของตนเองและควบคุมระบบได้
  • ข้อมูลที่มีความอ่อนไหว เช่น ข้อมูลส่วนบุคคล ข้อมูลทางการเงิน หรือข้อมูลทางธุรกิจ อาจถูกขโมย
  • ระบบอาจถูกทำลาย
  • ระบบอาจถูกใช้เป็นฐานในการโจมตีระบบอื่นๆ

วิธีป้องกันและแก้ไข

  • อัปเดต Splunk Enterprise เป็นเวอร์ชันล่าสุด (9.2.2, 9.1.5 หรือ 9.0.10)
  • ปิดการใช้งานแอปพลิเคชัน ‘splunk_archiver’

ช่องโหว่ที่สองซึ่งส่งผลกระทบต่อ Splunk Enterprise สำหรับ Windows และมีการติดตามว่าเป็น CVE-2024-36984(8.8) ช่วยให้ผู้โจมตีที่ผ่านการตรวจสอบความถูกต้องสามารถดำเนินการสอบถามที่สร้างขึ้นเพื่อจัดรูปแบบข้อมูลที่ไม่น่าเชื่อถือและดำเนินการโค้ดตามอำเภอใจได้

ผลกระทบ

  • ข้อมูลที่ไม่ได้รับอนุญาตอาจถูกเปิดเผย

วิธีป้องกันและแก้ไข

  • อัปเดต Splunk Enterprise เป็นเวอร์ชันล่าสุด (9.2.2, 9.1.5 หรือ 9.0.10)

ช่องโหว่ที่สาม CVE-2024-36991(7.5) เป็นช่องโหว่ path traversal ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ Splunk Enterprise สำหรับ Windows ช่องโหว่นี้เปิดโอกาสให้ผู้ไม่หวังดีสามารถอ่านไฟล์โดยพลการบนระบบที่ได้รับผลกระทบได้

ผลกระทบ

  • ผู้ประสงค์ร้ายอาจสามารถเข้าถึงข้อมูลที่สำคัญ เช่น ข้อมูลประจำตัวผู้ใช้ หรือข้อมูลการกำหนดค่าระบบ ซึ่งอาจนำไปสู่ความเสียหายร้ายแรงต่อองค์กร
  • ในบางกรณี ผู้ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ของตนเพื่อเข้าควบคุมระบบทั้งหมดได้ ซึ่งเป็นภัยคุกคามต่อความมั่นคงปลอดภัยของระบบ

แนวทางการแก้ไข

  • แนวทางการแก้ไขที่มีประสิทธิภาพสูงสุดคือการอัปเดต Splunk Enterprise เป็นเวอร์ชันล่าสุด (9.2.2, 9.1.5 หรือ 9.0.10 ขึ้นไป) ซึ่งได้ทำการแก้ไขช่องโหว่นี้แล้ว
  • หากการอัปเดตไม่สามารถดำเนินการได้ในทันที การปิดใช้งาน Splunk Web ชั่วคราวสามารถช่วยลดความเสี่ยงในการถูกโจมตีได้

“การโจมตีต้องใช้คำสั่ง collect SPL ซึ่งเขียนไฟล์ภายในการติดตั้ง Splunk Enterprise จากนั้นผู้โจมตีสามารถใช้ไฟล์นี้เพื่อส่งเพย์โหลดแบบอนุกรมซึ่งอาจส่งผลให้มีการเรียกใช้โค้ดภายในเพย์โหลด” Splunk กล่าว

ทั้งนี้ Splunk ยังได้แก้ไขข้อบกพร่องการแทรกคำสั่งที่มีความรุนแรงสูงในผลิตภัณฑ์ Enterprise และ Cloud Platform ซึ่งอาจช่วยให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์สามารถสร้างการเรียกค้นหาภายนอกไปยังฟังก์ชันภายในเดิมและแทรกโค้ดในไดเร็กทอรีการติดตั้งของแพลตฟอร์ม Splunk ได้

ข้อมูลอ้างอิง

Splunk Patches High-Severity Vulnerabilities in Enterprise Product | Securityweek
Security Advisories | Splunk