Se han reportado nuevos avisos de seguridad sobre múltiples vulnerabilidades que afectan a productos de Splunk, que permitirían a un atacante realizar inyección de comandos, ejecución arbitraria de código, denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 9 (nueve) de severidad “Alta” y 2 (dos) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-40595, de severidad “Alta” y con puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de gestión de archivos del comando SPL “collect” y de validación de datos en el proceso de deserialización en Splunk Enterprise. Esto permitiría a un atacante a través de unas peticiones especialmente diseñadas, crear un archivo a través del comando “collect”, enviar una carga serializada a dicho archivo y así realizar ejecución de código arbitrario en el sistema afectado.
- CVE-2023-40598, de severidad “Alta” y con puntuación asignada de 8.5. Esta vulnerabilidad de Command Injection se debe a falla de seguridad en la búsqueda externa que llama a una función interna para insertar un código en el directorio de instalación de la plataforma Splunk. Esto permitiría a un atacante a través del comando actualmente obsoleto “runshellscript” que utilizan las acciones de alerta con scripts, en conjunto con las búsquedas de comandos externos, realizar ejecución de código arbitrario, insertar y ejecutar comandos con usuario con privilegios desde la instancia de la plataforma afectada.
- CVE-2023-40597, de severidad “Alta” y con puntuación asignada de 7.8. Esta vulnerabilidad del tipo path traversal se debe a una falla de validación de datos en el script runshellscript.py del directorio raíz de Splunk Enterprise. Esto permitiría a un atacante a través del script runshellscript.py ejecutar otro script que se encuentra en un disco independiente en el que tenga permiso de escritura para colocarlo, para así realizar ejecución de código arbitrario en el sistema afectado.
Se puede acceder al listado completo de vulnerabilidades aquí
Las versiones afectadas son:
- Splunk Enterprise – Splunk Web, versiones 8.2.0 a 8.2.11.
- Splunk Enterprise – Splunk Web, versiones 9.0.0 a 9.0.5.
- Splunk IT Service Intelligence (ITSI), versiones 4.13.0 a 4.13.2.
- Splunk IT Service Intelligence (ITSI), versiones 4.15.0 a 4.15.2.
- Splunk Cloud – Splunk Web, versión 9.0.2305.100 y versiones anteriores.
Se puede acceder al listado completo de productos afectados aquí
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://www.securityweek.com/splunk-patches-high-severity-flaws-in-enterprise-it-service-intelligence/
- https://nvd.nist.gov/vuln/detail/CVE-2023-40595
- https://nvd.nist.gov/vuln/detail/CVE-2023-40598
- https://nvd.nist.gov/vuln/detail/CVE-2023-40597
- https://advisory.splunk.com/advisories
- https://advisory.splunk.com/advisories/SVD-2023-0804
- https://advisory.splunk.com/advisories/SVD-2023-0807
- https://advisory.splunk.com/advisories/SVD-2023-0806
- https://www.splunk.com/en_us/download.html