Một lỗ hổng leo thang đặc quyền nghiêm trọng đã được phát hiện trong Splunk – một trong những công cụ SIEM (Quản lý sự cố và sự cố bảo mật) được sử dụng nhiều nhất trên toàn thế giới nhằm thu thập nhật ký sự kiện để điều tra các sự cố bảo mật.
Lỗ hổng được theo dõi là CVE-2023-32707, là lỗi leo thang đặc quyền khả năng ‘edit_user’. Bất kỳ người dùng nào có đặc quyền thấp và có khả năng ‘edit_user’ đều có thể nâng cấp đặc quyền lên người dùng quản trị bằng cách gửi một yêu cầu web được tạo đặc biệt tới Splunk. Điều này do ‘edit_user’ không kết nối với cài đặt ‘grantableRole’ trong tệp cấu hình allow.conf.
Các phiên bản Splunk bị ảnh hưởng gồm:
- Splunk Enterprise phiên bản từ 8.1.0 đến 8.1.13. đã vá lỗi trong phiên bản 8.1.14.
- Splunk Enterprise phiên bản từ 8.2.0 đến 8.2.10 đã vá lỗi trong phiên bản 8.2.11.
- Splunk Enterprise phiên bản từ 9.0.0 đến 9.0.4 đã vá lỗi trong phiên bản 9.0.5.
- Splunk Cloud Platform phiên bản từ 9.0.2303 trở xuống đã vá lỗi trong phiên bản 9.0.2303.100.
Một số biện pháp giảm thiểu và khắc phục:
- Không ai ngoài các quản trị viên được phép có khả năng ‘edit_user’.
- Không cung cấp vai trò ‘edit_user’ để kế thừa cho các vai trò khác.
- Không giao cho người dùng có đặc quyền thấp hoặc không có đặc quyền khả năng ‘edit_user’.
Tất cả người dùng Splunk được khuyến nghị nâng cấp lên phiên bản Splunk mới nhất để đảm bảo an toàn.
Nguồn: GBHackers