Plateforme
splunk
Composant
splunk-enterprise
Corrigé dans
9.3.1
9.2.3
9.1.6
La vulnérabilité CVE-2024-45731 concerne un défaut d'accès arbitraire de fichiers dans Splunk Enterprise pour Windows. Cette faille permet à un utilisateur non privilégié, ne possédant pas les rôles "admin" ou "power", d'écrire des fichiers dans le répertoire racine du système Windows, potentiellement dans le dossier Windows System32. Elle affecte les versions 9.1 à 9.3.0 et a été corrigée dans la version 9.3.1.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'écrire des fichiers arbitraires sur le système Windows où Splunk Enterprise est installé. Cela pourrait conduire à l'exécution de code malveillant, à la modification de fichiers système critiques, ou à la compromission complète du serveur. L'emplacement par défaut du répertoire Windows System32 rend cette vulnérabilité particulièrement dangereuse, car elle pourrait permettre à un attaquant de prendre le contrôle du système d'exploitation. Bien qu'il n'y ait pas de rapports publics d'exploitation active, la possibilité d'écrire dans un répertoire système critique représente un risque significatif, en particulier dans les environnements où les contrôles d'accès sont mal configurés.
La vulnérabilité CVE-2024-45731 n'a pas encore été ajoutée au KEV de CISA ni à d'autres listes de vulnérabilités critiques. Il n'existe pas de preuve d'exploitation active à ce jour, mais la nature de la vulnérabilité (accès arbitraire de fichiers) la rend potentiellement attrayante pour les attaquants. La publication de la vulnérabilité le 2024-10-14 indique que la recherche a été rendue publique récemment.
Organizations utilizing Splunk Enterprise for Windows, particularly those with deployments on separate drives and with less stringent access control configurations, are at risk. Environments with legacy Splunk deployments or those that haven't consistently applied security patches are especially vulnerable. Shared hosting environments where Splunk is installed could also be affected if the underlying host system is compromised.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Principal.Identity.Name -like "*splunk*"}• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like "*splunk*"} | Select-Object -ExpandProperty CommandLine• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID=4663" -MaxEvents 100 | Where-Object {$_.Properties[0].Value -like "*splunk*"}disclosure
Statut de l'Exploit
EPSS
0.78% (percentile 74%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Splunk Enterprise pour Windows vers la version 9.3.1 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre les autorisations d'accès aux fichiers et aux répertoires utilisés par Splunk Enterprise. Envisagez de configurer un pare-feu applicatif (WAF) pour bloquer les requêtes suspectes visant à écrire des fichiers dans des emplacements non autorisés. Surveillez attentivement les journaux d'accès de Splunk Enterprise pour détecter toute activité inhabituelle. Après la mise à jour, vérifiez que les autorisations d'accès aux fichiers sont correctement configurées et que les journaux d'audit indiquent une activité normale.
Actualice Splunk Enterprise a la versión 9.3.1, 9.2.3 o 9.1.6 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos en el directorio raíz del sistema Windows. La actualización mitiga el riesgo de ejecución remota de comandos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-45731 is a HIGH severity vulnerability allowing low-privileged users to write files to the Windows System32 directory in Splunk Enterprise versions 9.1–9.3.0, potentially leading to system instability or code execution.
You are affected if you are running Splunk Enterprise for Windows versions 9.1, 9.2, or 9.3.0. Upgrade to 9.3.1, 9.2.3, or 9.1.6 to mitigate the risk.
Upgrade Splunk Enterprise for Windows to version 9.3.1, 9.2.3, or 9.1.6. As a temporary workaround, restrict file system permissions for the Splunk user account.
There is currently no evidence of active exploitation in the wild, but the vulnerability's ease of exploitation suggests it could become a target.
Refer to the official Splunk Security Advisory: [https://capital.splunk.com/#!/advisory/SPL-24-033](https://capital.splunk.com/#!/advisory/SPL-24-033)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.