プラットフォーム
splunk
コンポーネント
splunk-enterprise
修正版
9.3.1
9.2.3
9.1.6
CVE-2024-45731は、Splunk Enterpriseのバージョン9.1から9.3.0において発見された任意ファイルアクセス脆弱性です。この脆弱性を悪用されると、Splunkの管理者権限やパワー権限を持たないユーザーが、Windowsシステムルートディレクトリにファイルを書き込むことが可能になります。影響を受けるバージョンは9.1、9.2.3、および9.3.0です。Splunk Enterpriseをバージョン9.3.1にアップデートすることでこの脆弱性は修正されます。
この脆弱性は、権限の低いユーザーがシステムドライブ上の重要なシステムファイルに影響を与える可能性を秘めています。攻撃者は、Splunk Enterpriseのインストールディレクトリとは異なるドライブにインストールされたシステムにファイルを書き込むことができます。これにより、システムファイルの改ざん、マルウェアの実行、またはシステムの不安定化を引き起こす可能性があります。特に、Windows System32フォルダへの書き込みは、システムの整合性を損なう重大なリスクをもたらします。この脆弱性は、類似のファイルアクセス脆弱性と同様に、システム全体のセキュリティを脅かす可能性があります。
CVE-2024-45731は、2024年10月14日に公開されました。現時点では、この脆弱性を悪用する公開されているPoC(Proof of Concept)は確認されていません。CISAのKEV(Known Exploited Vulnerabilities)カタログへの登録状況は不明です。この脆弱性の悪用可能性は、公開されているPoCの有無や、攻撃者による積極的な調査の状況によって変化する可能性があります。
Organizations utilizing Splunk Enterprise for Windows, particularly those with deployments on separate drives and with less stringent access control configurations, are at risk. Environments with legacy Splunk deployments or those that haven't consistently applied security patches are especially vulnerable. Shared hosting environments where Splunk is installed could also be affected if the underlying host system is compromised.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Principal.Identity.Name -like "*splunk*"}• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like "*splunk*"} | Select-Object -ExpandProperty CommandLine• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID=4663" -MaxEvents 100 | Where-Object {$_.Properties[0].Value -like "*splunk*"}disclosure
エクスプロイト状況
EPSS
0.78% (74% パーセンタイル)
CISA SSVC
CVSS ベクトル
Splunk Enterpriseをバージョン9.3.1にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが利用できない場合、Splunk Enterpriseがインストールされているドライブへのアクセスを制限する、ファイルシステムのパーミッションを厳格化するなどの緩和策を講じる必要があります。また、WAF(Web Application Firewall)やIPS(Intrusion Prevention System)などのセキュリティデバイスを使用して、悪意のあるファイル書き込み試行を検知およびブロックすることも有効です。アップデート後、Splunk Enterpriseのログを監視し、異常なファイルアクセスイベントがないか確認してください。
Actualice Splunk Enterprise a la versión 9.3.1, 9.2.3 o 9.1.6 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos en el directorio raíz del sistema Windows. La actualización mitiga el riesgo de ejecución remota de comandos.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-45731は、Splunk Enterpriseのバージョン9.1~9.3.0において、権限の低いユーザーがシステムルートディレクトリにファイルを書き込める脆弱性です。
Splunk Enterpriseのバージョンが9.1、9.2.3、または9.3.0の場合、この脆弱性に影響を受けます。
Splunk Enterpriseをバージョン9.3.1にアップデートすることで、この脆弱性を修正できます。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。
Splunkのセキュリティアドバイザリページで確認できます。