کشف آسیبپذیری درSplunk و امکان افشای اطلاعات حساس
آسیبپذیری با شناسه CVE-2023-46230 و شدت بالا 8.2 درSplunk امکان افشای اطلاعات حساس فایلهای لاگ (log files) داخلی را برای مهاجم محلی فراهم میآورد. هنگامی که برنامه سفارشی و ویژگیهای افزونه (add-on) ویرایش میشوند، Add-on Builder دادههای حساس را در فایلهای لاگ خود مینویسد و ثبت میکند. این دادهها شامل موارد زیر است:
• اعتبار پروکسی (Proxy credentials)
• اعتبار حساب جهانی (Global Account credentials)
• فیلدهای رمز عبور تعریف شده توسط کاربر در قسمت پارامترهای ورودی داده
• فیلدهای رمز عبور تعریف شده توسط کاربر در قسمت پارامترهای تنظیم افزونه (Add-on Setup)
جهت بهرهبرداری از این آسیبپذیری مهاجم به دسترسی محلی به فایلهای لاگ یا دسترسی مدیریتی به نمایههای (indexes) داخلی نیاز دارد که بهطور پیشفرض دسترسی مدیریت وجود دارد. این آسیبپذیری تاثیر زیادی بر محرمانگی دارد و یکپارچگی و دسترسپذیری را تا حدودی تحت تاثیر قرار میدهد.
این آسیبپذیری محصول Splunk Add-on Builder نسخههای قبل از 4.1.4 را تحت تاثیر قرار میدهد.
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Splunk Add-on Builder به نسخه 4.1.4 و بالاتر اقدام کرده و اقدامات زیر را انجام دهید:
– حذف تمام فایلهای لاگ Splunk Add-on Builder در مسیر $SPLUNK_HOME/var/log/splunk/ شامل:
• splunk_app_addon-builder_default_metric_events.log
• splunk_app_addon-builder_ta_builder_validation.log
• splunk_app_addon-builder_ta_builder.log
• splunk_app_addon-builder_validation_engine.log
– حذف تمام رویدادهای فایل لاگ Splunk Add-on Builder با دستور زیر:
index=_* sourcetype=”splunk:tabuilder:log” | delete
– راهاندازی مجدد Splunk Enterprise
– تغییر و جابجایی تمام اعتبارنامهها (credentials)، توکنها و اطلاعات حساس ذخیره شده در پارامترهای ورودی داده و پارامترهای تنظیم افزونه برای ورودیهای Modular، از جمله موارد زیر:
اعتبار پروکسی (Proxy credentials)
اعتبار حساب جهانی (Global Account credentials)
فیلدهای رمز عبور تعریف شده توسط کاربر در قسمت پارامترهای ورودی داده
فیلدهای رمز عبور تعریف شده توسط کاربر در قسمت پارامترهای تنظیم افزونه (Add-on Setup)
• دستور delete به نقش can_delete نیاز دارد که مدیران به طور پیشفرض آن را ندارند.
* راهکارهای ارائه شده فقط برای Splunk Add-on Builder اعمال شود. بنابراین افزونههایی که Splunk Add-on Builder را ایجاد میکنند مستقیماً تحت تأثیر قرار نمیگیرند و نیازی به ویرایش یا بهروزرسانی ندارند.