8 กรกฏาคม 2567 | สืบสาย โสดานิล
Splunk ได้ประกาศแก้ไขจุดอ่อนใน Splunk Enterprise และ Cloud Platform รวมถึงจุดบกพร่องพบปัญหาที่ร้ายแรงคือข้อบกพร่องในการดำเนินโค้ดจากระยะไกลซึ่งต้องมีการตรวจสอบสิทธิ์จึงจะสามารถโจมตีได้สำเร็จ
ช่องโหว่แรกซึ่งติดตามเป็น CVE-2024-36985(8.8) อาจถูกผู้ใช้ที่มีสิทธิ์ใช้งานต่ำใช้ประโยชน์ผ่านการค้นหาที่อาจอ้างอิงถึงแอปพลิเคชัน ‘splunk_archiver’ ปัญหานี้ส่งผลต่อ Splunk Enterprise เวอร์ชัน 9.2.x, 9.1.x และ 9.0.x Splunk Enterprise เวอร์ชัน 9.2.2, 9.1.5 และ 9.0.10 ได้แก้ไขช่องโหว่ดังกล่าวแล้ว โดยสามารถบรรเทาข้อบกพร่องดังกล่าวได้โดยการปิดใช้งานแอปพลิเคชัน ‘splunk_archiver’
ผลกระทบ
วิธีป้องกันและแก้ไข
ช่องโหว่ที่สองซึ่งส่งผลกระทบต่อ Splunk Enterprise สำหรับ Windows และมีการติดตามว่าเป็น CVE-2024-36984(8.8) ช่วยให้ผู้โจมตีที่ผ่านการตรวจสอบความถูกต้องสามารถดำเนินการสอบถามที่สร้างขึ้นเพื่อจัดรูปแบบข้อมูลที่ไม่น่าเชื่อถือและดำเนินการโค้ดตามอำเภอใจได้
ผลกระทบ
วิธีป้องกันและแก้ไข
ช่องโหว่ที่สาม CVE-2024-36991(7.5) เป็นช่องโหว่ path traversal ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ Splunk Enterprise สำหรับ Windows ช่องโหว่นี้เปิดโอกาสให้ผู้ไม่หวังดีสามารถอ่านไฟล์โดยพลการบนระบบที่ได้รับผลกระทบได้
ผลกระทบ
แนวทางการแก้ไข
“การโจมตีต้องใช้คำสั่ง collect SPL ซึ่งเขียนไฟล์ภายในการติดตั้ง Splunk Enterprise จากนั้นผู้โจมตีสามารถใช้ไฟล์นี้เพื่อส่งเพย์โหลดแบบอนุกรมซึ่งอาจส่งผลให้มีการเรียกใช้โค้ดภายในเพย์โหลด” Splunk กล่าว
ทั้งนี้ Splunk ยังได้แก้ไขข้อบกพร่องการแทรกคำสั่งที่มีความรุนแรงสูงในผลิตภัณฑ์ Enterprise และ Cloud Platform ซึ่งอาจช่วยให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์สามารถสร้างการเรียกค้นหาภายนอกไปยังฟังก์ชันภายในเดิมและแทรกโค้ดในไดเร็กทอรีการติดตั้งของแพลตฟอร์ม Splunk ได้
Splunk Patches High-Severity Vulnerabilities in Enterprise Product | Securityweek
Security Advisories | Splunk
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา