Plataforma
python
Componente
iris-evtx-module
Corregido en
1.0.1
La vulnerabilidad CVE-2024-34060 es una falla de Acceso Arbitrario a Archivos en el módulo IRIS EVTX Pipeline, un componente de Evtx2Splunk e Iris utilizado para procesar archivos de registro EVTX de Microsoft. Esta falla permite la escritura de archivos arbitrarios, lo que podría resultar en una ejecución remota de código (RCE) si se combina con una Inyección de Plantillas del Lado del Servidor (SSTI). La vulnerabilidad afecta a versiones anteriores o iguales a 1.0.0 y ha sido corregida en la versión 1.0.0.
Un atacante podría explotar esta vulnerabilidad para escribir archivos arbitrarios en el sistema donde se ejecuta el módulo IRIS EVTX Pipeline. Esto podría permitir la modificación de archivos de configuración, la inserción de código malicioso o incluso la ejecución de comandos arbitrarios en el servidor. La combinación de esta falla con una Inyección de Plantillas del Lado del Servidor (SSTI) amplifica significativamente el impacto, permitiendo potencialmente la ejecución de código remoto. El alcance de la explotación dependerá de los permisos del usuario bajo el cual se ejecuta el proceso, pero podría afectar la confidencialidad, integridad y disponibilidad del sistema.
Actualmente no se dispone de información pública sobre campañas activas de explotación de CVE-2024-34060. La vulnerabilidad fue publicada el 23 de mayo de 2024. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing the IRIS EVTX Pipeline Module for log ingestion, particularly those with internet-facing deployments or those using the module to process logs from untrusted sources, are at significant risk. Legacy configurations of IRIS web applications and environments where input validation is weak are especially vulnerable.
• linux / server:
find /opt/iris/ -name "iris-evtx-module*" -mtime +7 # Check for older versions
journalctl -u iris-web -g "EVTX upload" | grep -i "error" # Look for upload errors• generic web:
curl -I <IRIS_WEB_ENDPOINT>/evtx_upload.php | grep -i "server" # Check server header for potential information leakagedisclosure
Estado del Exploit
EPSS
2.44% (85% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-34060 es actualizar el módulo IRIS EVTX Pipeline a la versión 1.0.0 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la interfaz de carga de archivos EVTX, implementar controles de validación de nombres de archivos más estrictos y monitorear los registros del sistema en busca de actividades sospechosas. Además, se recomienda revisar la configuración del servidor web para asegurar que no se permitan escrituras arbitrarias en el sistema de archivos. Después de la actualización, confirme la corrección revisando los registros del sistema y realizando pruebas de carga de archivos para verificar que los nombres de archivo se validan correctamente.
Actualice el módulo iris-evtx-module a la versión 1.0.0 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos. Puede actualizar el módulo utilizando el gestor de paquetes de Python, pip, ejecutando el comando: `pip install --upgrade iris-evtx-module`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-34060 is a HIGH severity vulnerability in the IRIS EVTX Pipeline Module allowing attackers to potentially write arbitrary files, leading to remote code execution via SSTI.
You are affected if you are using IRIS EVTX Pipeline Module versions prior to 1.0.0. Immediate action is required to mitigate the risk.
Upgrade the IRIS EVTX Pipeline Module to version 1.0.0 or later. If immediate upgrade is not possible, implement temporary workarounds like input validation and WAF rules.
While no active exploitation campaigns have been publicly reported, the vulnerability's potential for remote code execution warrants immediate attention and mitigation.
Refer to the official IRIS advisory for detailed information and updates regarding CVE-2024-34060: [https://www.irisbg.com/security-advisory-cve-2024-34060](https://www.irisbg.com/security-advisory-cve-2024-34060)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.