Plataforma
splunk
Componente
splunk-enterprise
Corregido en
9.3.1
9.2.3
9.1.6
CVE-2024-45731 describe una vulnerabilidad de Acceso Arbitrario de Archivos en Splunk Enterprise para Windows. Esta falla permite a usuarios no administradores escribir archivos en el directorio raíz del sistema Windows, lo que podría resultar en la ejecución de código malicioso o la modificación de archivos críticos. La vulnerabilidad afecta a las versiones 9.1 a 9.3.0, y se ha solucionado en la versión 9.3.1.
La explotación exitosa de esta vulnerabilidad permite a un atacante, incluso sin privilegios de administrador ni roles especiales en Splunk, escribir archivos en el directorio C:\Windows\System32 o en el directorio raíz del sistema donde está instalado Splunk. Esto puede llevar a la ejecución remota de código, la instalación de malware, la modificación de archivos de configuración del sistema operativo, o la denegación de servicio. El impacto es significativo, ya que compromete la integridad y la confidencialidad del sistema operativo subyacente, no solo la instalación de Splunk. Un atacante podría, por ejemplo, colocar un archivo ejecutable malicioso en System32 y ejecutarlo con los privilegios del servicio Splunk, escalando así sus privilegios.
Esta vulnerabilidad ha sido publicada públicamente el 14 de octubre de 2024. No se ha confirmado la explotación activa en entornos reales, pero la facilidad de explotación y el impacto potencial la convierten en un objetivo atractivo para los atacantes. No se ha añadido a la lista KEV de CISA al momento de esta redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Organizations utilizing Splunk Enterprise for Windows, particularly those with deployments on separate drives and with less stringent access control configurations, are at risk. Environments with legacy Splunk deployments or those that haven't consistently applied security patches are especially vulnerable. Shared hosting environments where Splunk is installed could also be affected if the underlying host system is compromised.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Principal.Identity.Name -like "*splunk*"}• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like "*splunk*"} | Select-Object -ExpandProperty CommandLine• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID=4663" -MaxEvents 100 | Where-Object {$_.Properties[0].Value -like "*splunk*"}disclosure
Estado del Exploit
EPSS
0.78% (74% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Splunk Enterprise para Windows a la versión 9.3.1 o posterior. Si la actualización inmediata no es posible, considere aislar el servidor Splunk afectado de la red para limitar el riesgo de explotación. Como medida temporal, se podría implementar una política de grupo (GPO) en Windows para restringir los permisos de escritura en el directorio C:\Windows\System32 para el usuario que ejecuta el servicio Splunk. Monitorear los registros de Splunk en busca de intentos de escritura de archivos en ubicaciones no autorizadas también puede ayudar a detectar actividad sospechosa. Después de la actualización, verifique que el servicio Splunk se esté ejecutando correctamente y que no haya errores relacionados con permisos de archivo.
Actualice Splunk Enterprise a la versión 9.3.1, 9.2.3 o 9.1.6 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos en el directorio raíz del sistema Windows. La actualización mitiga el riesgo de ejecución remota de comandos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-45731 is a HIGH severity vulnerability allowing low-privileged users to write files to the Windows System32 directory in Splunk Enterprise versions 9.1–9.3.0, potentially leading to system instability or code execution.
You are affected if you are running Splunk Enterprise for Windows versions 9.1, 9.2, or 9.3.0. Upgrade to 9.3.1, 9.2.3, or 9.1.6 to mitigate the risk.
Upgrade Splunk Enterprise for Windows to version 9.3.1, 9.2.3, or 9.1.6. As a temporary workaround, restrict file system permissions for the Splunk user account.
There is currently no evidence of active exploitation in the wild, but the vulnerability's ease of exploitation suggests it could become a target.
Refer to the official Splunk Security Advisory: [https://capital.splunk.com/#!/advisory/SPL-24-033](https://capital.splunk.com/#!/advisory/SPL-24-033)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.