Platform
splunk
Component
splunk-enterprise
Opgelost in
9.3.1
9.2.3
9.1.6
CVE-2024-45731 beschrijft een Arbitrary File Access kwetsbaarheid in Splunk Enterprise voor Windows. Deze kwetsbaarheid stelt een niet-beheerdersgebruiker in staat om bestanden naar de Windows systeemroot te schrijven, wat kan leiden tot ongeautoriseerde toegang en potentieel schadelijke acties. De kwetsbaarheid treft Splunk Enterprise versies 9.1 tot en met 9.3.0. Een fix is beschikbaar in versie 9.3.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ernstige gevolgen. Een aanvaller, die geen beheerdersrechten heeft, kan bestanden naar de Windows System32 map schrijven. Dit kan gebruikt worden om kwaadaardige code uit te voeren, systeemconfiguraties te wijzigen of gevoelige gegevens te compromitteren. De impact is aanzienlijk, omdat het de integriteit en beschikbaarheid van het systeem in gevaar brengt. Het potentiële misbruik kan variëren van het installeren van malware tot het verkrijgen van ongeautoriseerde toegang tot andere systemen binnen het netwerk, afhankelijk van de rechten die de geëxploiteerde Splunk-instantie heeft.
Op dit moment (2024-10-16) is er geen publiek beschikbare proof-of-concept (POC) voor deze kwetsbaarheid. De kwetsbaarheid is toegevoegd aan de CISA KEV catalogus, wat duidt op een potentieel risico. De kans op actieve exploitatie is momenteel laag, maar het is belangrijk om de kwetsbaarheid te patchen om toekomstige aanvallen te voorkomen. De publicatiedatum van de CVE is 2024-10-14.
Organizations utilizing Splunk Enterprise for Windows, particularly those with deployments on separate drives and with less stringent access control configurations, are at risk. Environments with legacy Splunk deployments or those that haven't consistently applied security patches are especially vulnerable. Shared hosting environments where Splunk is installed could also be affected if the underlying host system is compromised.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Principal.Identity.Name -like "*splunk*"}• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like "*splunk*"} | Select-Object -ExpandProperty CommandLine• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID=4663" -MaxEvents 100 | Where-Object {$_.Properties[0].Value -like "*splunk*"}disclosure
Exploit Status
EPSS
0.78% (74% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Splunk Enterprise voor Windows naar versie 9.3.1 of hoger. Indien een upgrade momenteel niet mogelijk is, overweeg dan om de Splunk-instantie te isoleren van het netwerk om verdere exploitatie te voorkomen. Controleer de toegangsrechten van gebruikers binnen Splunk om ervoor te zorgen dat alleen beheerders toegang hebben tot kritieke functies. Implementeer een Web Application Firewall (WAF) om verdachte verzoeken te blokkeren die proberen bestanden naar de systeemroot te schrijven. Monitor Splunk-logbestanden op ongebruikelijke activiteiten die verband houden met bestandstoegang.
Actualice Splunk Enterprise a la versión 9.3.1, 9.2.3 o 9.1.6 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos en el directorio raíz del sistema Windows. La actualización mitiga el riesgo de ejecución remota de comandos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-45731 is a HIGH severity vulnerability allowing low-privileged users to write files to the Windows System32 directory in Splunk Enterprise versions 9.1–9.3.0, potentially leading to system instability or code execution.
You are affected if you are running Splunk Enterprise for Windows versions 9.1, 9.2, or 9.3.0. Upgrade to 9.3.1, 9.2.3, or 9.1.6 to mitigate the risk.
Upgrade Splunk Enterprise for Windows to version 9.3.1, 9.2.3, or 9.1.6. As a temporary workaround, restrict file system permissions for the Splunk user account.
There is currently no evidence of active exploitation in the wild, but the vulnerability's ease of exploitation suggests it could become a target.
Refer to the official Splunk Security Advisory: [https://capital.splunk.com/#!/advisory/SPL-24-033](https://capital.splunk.com/#!/advisory/SPL-24-033)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.