Plataforma
python
Componente
iris-evtx-module
Corrigido em
1.0.1
A vulnerabilidade CVE-2024-34060 é uma falha de Acesso Arbitrário de Arquivos no módulo IRIS EVTX Pipeline, parte da aplicação Iris. Essa falha ocorre devido ao tratamento inseguro de nomes de arquivos durante o upload de arquivos EVTX, permitindo que um atacante escreva arquivos arbitrariamente. Versões afetadas incluem aquelas anteriores à 1.0.0. A correção foi implementada na versão 1.0.0.
Um atacante pode explorar essa vulnerabilidade para escrever arquivos em locais arbitrários no sistema, potencialmente sobrescrevendo arquivos críticos ou injetando código malicioso. A combinação com uma injeção de modelo do lado do servidor (SSTI) pode levar à execução remota de código (RCE), comprometendo a integridade e a confidencialidade do sistema. O impacto pode ser significativo, permitindo que um atacante obtenha controle total sobre o servidor Iris e os dados que ele processa.
A vulnerabilidade foi divulgada em 23 de maio de 2024. Embora não haja informações sobre exploração ativa em campanhas, a combinação com SSTI torna a vulnerabilidade potencialmente perigosa. A ausência de um KEV listing indica que a probabilidade de exploração em larga escala ainda é baixa, mas a disponibilidade de informações sobre a vulnerabilidade aumenta o risco de exploração direcionada.
Organizations utilizing the IRIS EVTX Pipeline Module for log ingestion, particularly those with internet-facing deployments or those using the module to process logs from untrusted sources, are at significant risk. Legacy configurations of IRIS web applications and environments where input validation is weak are especially vulnerable.
• linux / server:
find /opt/iris/ -name "iris-evtx-module*" -mtime +7 # Check for older versions
journalctl -u iris-web -g "EVTX upload" | grep -i "error" # Look for upload errors• generic web:
curl -I <IRIS_WEB_ENDPOINT>/evtx_upload.php | grep -i "server" # Check server header for potential information leakagedisclosure
Status do Exploit
EPSS
2.44% (percentil 85%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão 1.0.0 do módulo IRIS EVTX Pipeline, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao pipeline EVTX apenas a usuários autorizados e monitorar os logs do sistema em busca de atividades suspeitas. Implementar regras de firewall para limitar o acesso externo ao pipeline também pode ajudar. Após a atualização, confirme a correção verificando se o tratamento de nomes de arquivos está sendo feito de forma segura.
Actualice el módulo iris-evtx-module a la versión 1.0.0 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos. Puede actualizar el módulo utilizando el gestor de paquetes de Python, pip, ejecutando el comando: `pip install --upgrade iris-evtx-module`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-34060 is a HIGH severity vulnerability in the IRIS EVTX Pipeline Module allowing attackers to potentially write arbitrary files, leading to remote code execution via SSTI.
You are affected if you are using IRIS EVTX Pipeline Module versions prior to 1.0.0. Immediate action is required to mitigate the risk.
Upgrade the IRIS EVTX Pipeline Module to version 1.0.0 or later. If immediate upgrade is not possible, implement temporary workarounds like input validation and WAF rules.
While no active exploitation campaigns have been publicly reported, the vulnerability's potential for remote code execution warrants immediate attention and mitigation.
Refer to the official IRIS advisory for detailed information and updates regarding CVE-2024-34060: [https://www.irisbg.com/security-advisory-cve-2024-34060](https://www.irisbg.com/security-advisory-cve-2024-34060)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.