Af Eskil Sørensen, 21/06/22
Der er fundet en sårbarhed i Splunk Enterprise Deployment Servers, der giver mulighed for afvikling af kode. Splunk Universal Forwarders, hvori sårbarheden ligger, bruges til at sende data fra en afsender enhed til en modtager (normalt Splunk).
Dette fremgår af en meddelelse, som DKCERT har udsendt til kontaktpersoner på forskningsnettet.
Konkret er der tale om en sårbarhed i Splunk Enterprise Deployment Servers i versioner før 9.0, der kan føre til kompromittering af et Universal Forwarder-slutpunkt, Dette kan udnyttes til afvikling af kode, også på alle andre Universal Forwarder-slutpunkter, som anvender en implementeringsserver.
Når der anvendes en implementeringsserver i sit setup, anvendes denne normalt også til automatisk download af Splunk Universal Forwarder (SUF)-agenter.
Administratoren af en implementeringsserver kontrollerer, hvilken SUF der kan downloades – dette gøres ved hjælp af IP-adresser eller DNS-navne. Som standard vil de fleste SUF-agenter køre som SYSTEM på Windows. (se referencer: CVE-2022-32158).
Det anbefales, at man installerer de anbefalede opdateringer fra Splunk (se referencer), anvender ’Principle of Least Privileges’ på alle services og systemer og bruger host-baseret Intrusion Decetion Systems (IDS)
Links:
https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html
https://docs.splunk.com/Documentation/Forwarder/8.2.6/Forwarder/Abouttheuniversalforwarder