Plataforma
splunk
Componente
splunk-enterprise
Corrigido em
9.3.1
9.2.3
9.1.6
O CVE-2024-45731 é uma vulnerabilidade de acesso arbitrário de arquivos no Splunk Enterprise para Windows. Essa falha permite que usuários de baixo privilégio, que não possuem os papéis de "admin" ou "power" no Splunk, escrevam arquivos no diretório raiz do sistema Windows, potencialmente comprometendo a integridade do sistema. A vulnerabilidade afeta as versões 9.1 até 9.3.0 e foi corrigida na versão 9.3.1.
Um atacante explorando essa vulnerabilidade pode injetar arquivos maliciosos no diretório System32 do Windows, o que pode levar à execução de código arbitrário com privilégios elevados. Isso pode resultar em controle total sobre o sistema afetado, roubo de dados confidenciais, instalação de malware ou interrupção de serviços críticos. A capacidade de escrever no System32 representa um risco significativo, pois permite a persistência de ameaças e a escalada de privilégios. A exploração bem-sucedida pode levar a um comprometimento completo do servidor Splunk e, potencialmente, de outros sistemas na rede, dependendo da configuração e dos privilégios do usuário Splunk.
O CVE-2024-45731 foi publicado em 14 de outubro de 2024. A probabilidade de exploração é considerada média, dada a facilidade de exploração e o impacto potencial. Não há evidências de exploração ativa em campanhas em larga escala no momento da publicação, mas a vulnerabilidade é de alta gravidade e deve ser tratada com urgência. Não foi adicionado ao KEV (Know Exploited Vulnerabilities) da CISA até o momento.
Organizations utilizing Splunk Enterprise for Windows, particularly those with deployments on separate drives and with less stringent access control configurations, are at risk. Environments with legacy Splunk deployments or those that haven't consistently applied security patches are especially vulnerable. Shared hosting environments where Splunk is installed could also be affected if the underlying host system is compromised.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Principal.Identity.Name -like "*splunk*"}• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like "*splunk*"} | Select-Object -ExpandProperty CommandLine• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID=4663" -MaxEvents 100 | Where-Object {$_.Properties[0].Value -like "*splunk*"}disclosure
Status do Exploit
EPSS
0.78% (percentil 74%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2024-45731 é a atualização imediata para o Splunk Enterprise versão 9.3.1 ou superior. Se a atualização imediata não for possível, considere restringir o acesso de usuários de baixo privilégio ao Splunk Enterprise. Implemente regras de firewall para limitar o acesso à interface web do Splunk apenas a fontes confiáveis. Monitore os logs do Splunk em busca de atividades suspeitas, como tentativas de escrita de arquivos em locais inesperados. Após a atualização, verifique a integridade do sistema, procurando por arquivos desconhecidos no diretório System32.
Actualice Splunk Enterprise a la versión 9.3.1, 9.2.3 o 9.1.6 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos en el directorio raíz del sistema Windows. La actualización mitiga el riesgo de ejecución remota de comandos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-45731 is a HIGH severity vulnerability allowing low-privileged users to write files to the Windows System32 directory in Splunk Enterprise versions 9.1–9.3.0, potentially leading to system instability or code execution.
You are affected if you are running Splunk Enterprise for Windows versions 9.1, 9.2, or 9.3.0. Upgrade to 9.3.1, 9.2.3, or 9.1.6 to mitigate the risk.
Upgrade Splunk Enterprise for Windows to version 9.3.1, 9.2.3, or 9.1.6. As a temporary workaround, restrict file system permissions for the Splunk user account.
There is currently no evidence of active exploitation in the wild, but the vulnerability's ease of exploitation suggests it could become a target.
Refer to the official Splunk Security Advisory: [https://capital.splunk.com/#!/advisory/SPL-24-033](https://capital.splunk.com/#!/advisory/SPL-24-033)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.