Splunk Supporting Add-on for Active Directory (SA-ldapsearch) における正規表現拒否サービス (ReDoS)

この脆弱性は、攻撃者が悪意のあるLDAPクエリを送信することで、SA-ldapsearchプロセスを過負荷状態にし、システム全体または特定のSplunkインスタンスをダウンさせることが可能です。攻撃者は、正規表現の処理に過剰な時間を費やさせることで、リソースを枯渇させ、他のユーザーへのサービス提供を妨害できます。ReDoS攻撃は、比較的容易に実行可能であり、攻撃者はシステムを長時間停止させることが期待できます。この脆弱性の悪用により、機密情報へのアクセスが妨げられたり、ビジネスオペレーションが中断されたりする可能性があります。

Organizations heavily reliant on Splunk for Active Directory monitoring are particularly at risk. Environments with complex Active Directory structures and frequent LDAP queries are more susceptible to DoS attacks. Security teams using the Splunk Supporting Add-on for Active Directory to automate security tasks or incident response are also at heightened risk, as a DoS condition could disrupt these critical functions.

• linux / server: Monitor system resource usage (CPU, memory) for unusual spikes, especially during LDAP query processing. Use top, htop, or similar tools to identify processes consuming excessive resources.

top

• linux / server: Examine Splunk logs for errors related to LDAP queries or regular expression processing. Look for patterns indicative of excessive backtracking or resource exhaustion.

journalctl -u splunk | grep -i "regex" -i "ldap"

• generic web: If the add-on exposes any web interfaces, monitor for unusual request patterns or error rates that might correlate with LDAP query processing.

1. 2025-01-30Disclosure

   disclosure

1. 予約済み2025-01-09
2. 公開日2025-01-30
3. 更新日2025-02-12
4. EPSS 更新日2026-04-02

最も効果的な対策は、Splunk Supporting Add-on for Active Directoryをバージョン3.1.1にアップデートすることです。アップデートが利用できない場合、LDAPクエリの入力を制限するWAF（Web Application Firewall）やプロキシサーバーのルールを実装することで、攻撃を軽減できます。また、正規表現の複雑さを制限する設定や、タイムアウトを設定することで、ReDoS攻撃の影響を最小限に抑えることができます。アップデート後、Splunkのログを監視し、異常なLDAPクエリのパターンがないか確認してください。