Splunk ได้ออกคำแนะนำล่าสุดที่มีรายละเอียดถึงช่องโหว่หลายรายการที่ถูกค้นพบในซอฟต์แวร์ Splunk Enterprise คำแนะนำนี้แบ่งช่องโหว่เป็นสามระดับตามคะแนน CVSS โดยรวมแล้วมีช่องโหว่สองรายการที่จัดอยู่ในระดับความรุนแรงสูง ซึ่งมีคะแนนความเสี่ยงที่ถือว่า Critical ส่วนความรุนแรงระดับปานกลางมีช่องโหว่แปดรายการ และมีช่องโหว่หนึ่งรายการที่จัดอยู่ในระดับความรุนแรงต่ำ
คำแนะนำนี้ระบุหมายเลข CVE ที่เกี่ยวข้องกับช่องโหว่หลายรายการ
- CVE-2024-45731
- CVE-2024-45732
- CVE-2024-45733
- CVE-2024-45734
- CVE-2024-45735
- CVE-2024-45736
- CVE-2024-45737
- CVE-2024-45738
- CVE-2024-45739
- CVE-2024-45740
- CVE-2024-45741
ที่สำคัญ Splunk ได้ยืนยันว่ามีแพตช์สำหรับช่องโหว่ทั้งหมดที่ระบุไว้ โดยแนะนำให้ผู้ใช้งานดำเนินการติดตั้งทันทีเพื่อลดความเสี่ยงที่อาจเกิดขึ้น
การวิเคราะห์ช่องโหว่โดยละเอียด
CVE-2024-45731 แก้ไขช่องโหว่ระดับ critical ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) โดยได้รับคะแนน CVSS ที่ 8.0 และจัดอยู่ในระดับความรุนแรงสูงช่องโหว่นี้มีผลกระทบต่อ Splunk Enterprise สำหรับ Windows ในเวอร์ชันที่ต่ำกว่า 9.3.1, 9.2.3 และ 9.1.6 ทำให้ผู้ไม่หวังดีที่มีสิทธิ์ต่ำสามารถใช้ช่องโหว่นี้ในการเขียนไฟล์ลงในไดเรกทอรี root ของระบบ Windows หาก Splunk ถูกติดตั้งอยู่บน separate drive การกระทำนี้อาจทำให้ผู้ไม่หวังดีสามารถโหลด malicious DLL ซึ่งนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เพื่อลดความเสี่ยงนี้ ผู้ใช้งานควรตรวจสอบให้แน่ใจว่า Splunk ไม่ได้ถูกติดตั้งอยู่บน separate disk
CVE-2024-45732 ถูกจัดอยู่ในระดับความรุนแรงปานกลาง โดยมีคะแนน CVSS ที่ 6.5 ช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชันต่าง ๆ ที่ต่ำกว่า 9.3.1 สำหรับทั้ง Splunk Enterprise และ Splunk Cloud Platform ในกรณีนี้ผู้ใช้งานที่มีสิทธิ์ต่ำอาจสามารถดำเนินการค้นหาในฐานะผู้ใช้ Splunk ที่ชื่อว่า “nobody” ซึ่งอาจทำให้เข้าถึงข้อมูลที่ถูกจำกัดได้ แนะนำให้ผู้ใช้งานแก้ไขไฟล์ local.meta เพื่อจำกัดการเข้าถึงการเขียน และสามารถพิจารณาปิดการใช้งาน Splunk Web เพื่อเป็นวิธีการแก้ไขชั่วคราวได้
ช่องโหว่อีกหนึ่งรายการที่ความรุนแรงระดับปานกลาง CVE-2024-45733 ซึ่งมีคะแนน 6.5 และส่งผลกระทบต่อ Splunk Enterprise สำหรับ Windows ในเวอร์ชันที่ต่ำกว่า 9.2.3 และ 9.1.6 ช่องโหว่นี้อนุญาตให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เนื่องจากการกำหนดค่าการจัดเก็บเซสชันที่ไม่ปลอดภัย สำหรับการแก้ไขปัญหานี้ ผู้ใช้งานควรปิดการใช้งาน Splunk Web บน indexers ใน distributed environments ซึ่งไม่จำเป็นต้องมีการเข้าสู่ระบบ
CVE-2024-45734 ถูกจัดอยู่ในความรุนแรงระดับปานกลาง มีคะแนน CVSS ที่ 4.3 และส่งผลกระทบต่อเวอร์ชันของ Splunk Enterprise ที่ต่ำกว่า 9.2.3 และ 9.1.6 ช่องโหว่นี้สามารถถูกใช้ประโยชน์ได้ผ่านฟีเจอร์การส่งออก PDF ซึ่งทำให้ผู้ใช้งานสามารถดูภาพในเครื่องที่กำลังรัน Splunk Enterprise ได้ การปิดการใช้งาน Splunk Web อาจเป็นวิธีการในการลดความเสี่ยงนี้ได้
อีกหนึ่งกรณีของการควบคุมการเข้าถึงที่ไม่เหมาะสมคือ CVE-2024-45735 ซึ่งมีคะแนน CVSS ที่ 4.3 และส่งผลกระทบต่อเวอร์ชันต่าง ๆ ที่ต่ำกว่า 9.2.3 และ 9.1.6 รวมถึงเวอร์ชันของ Splunk Secure Gateway ช่องโหว่นี้อนุญาตให้ผู้ใช้งานที่มีสิทธิ์ต่ำสามารถดูการกำหนดค่า และ keys ภายใน Splunk Secure Gateway App ผู้ใช้งานสามารถลดความเสี่ยงนี้ได้โดยการปิดการใช้งานแอปหากไม่จำเป็น หรือโดยการตรวจสอบให้แน่ใจว่ามีการตั้งค่าความปลอดภัยที่เหมาะสม
องค์กรจึงควรดำเนินการติดตั้งการตรวจสอบ และการแจ้งเตือนเกี่ยวกับพฤติกรรมของ search query เพื่อระบุความพยายามในการใช้ประโยชน์ที่อาจเกิดขึ้น
CVE-2024-45736 มีคะแนน CVSS 6.5 มีความรุนแรงระดับปานกลาง เกี่ยวข้องกับ uncontrolled resource consumption ช่องโหว่นี้อาจทำให้ Splunk daemon เกิดการหยุดทำงานหากมีการรัน search query ที่ถูกสร้างขึ้นมาเป็นพิเศษ องค์กรจึงควรดำเนินการติดตั้งการตรวจสอบ และการแจ้งเตือนเกี่ยวกับพฤติกรรมของ search query เพื่อระบุความพยายามในการใช้ประโยชน์ที่อาจเกิดขึ้น
CVE-2024-45737 เป็นช่องโหว่ที่มีความรุนแรงระดับต่ำ มีคะแนน CVSS 3.5 ส่งผลกระทบต่อเวอร์ชันต่าง ๆ ที่ต่ำกว่า 9.3.1 และ 9.2.3 โดยผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้ผ่านการโจมตีแบบ Cross-Site Request Forgery (CSRF) เพื่อเปลี่ยนสถานะโหมดการบำรุงรักษาของ App Key Value Store การปิดการใช้งาน Splunk Web อาจเป็นวิธีการแก้ไขปัญหาชั่วคราวได้
ช่องโหว่สองรายการ ได้แก่ CVE-2024-45738 และ CVE-2024-45739 ซึ่งมีความรุนแรงระดับปานกลาง มีคะแนน CVSS ที่ 4.9 ส่งผลกระทบต่อเวอร์ชันต่าง ๆ ที่ต่ำกว่า 9.3.1, 9.2.3 และ 9.1.6 ช่องโหว่เหล่านี้อาจเปิดเผย sensitive HTTP parameters และรหัสผ่านในรูปแบบ plaintext เนื่องจากการกำหนดค่าการ logging ที่ละเอียดเกินไป แนะนำให้ผู้ใช้งานปรับระดับการ logging และลบข้อมูล logs ที่สำคัญออกจาก internal index เพื่อลดความเสี่ยงเหล่านี้
สุดท้ายนี้ CVE-2024-45740 และ CVE-2024-45741 มีคะแนน CVSS 5.4 ความรุนแรงระดับปานกลาง ส่งผลกระทบต่อเวอร์ชันต่าง ๆ ที่ต่ำกว่า 9.2.3 และ 9.1.6 ช่องโหว่เหล่านี้สามารถถูกใช้ประโยชน์เพื่อเรียกใช้ JavaScript ที่ไม่ได้รับอนุญาตบนเว็บเบราว์เซอร์ของผู้ใช้งาน การปิดการใช้งาน Splunk Web อาจช่วยลดความเสี่ยงเหล่านี้ได้
คำแนะนำสำหรับองค์กร
- อัปเดตซอฟต์แวร์ระบบทั้งหมดอย่างสม่ำเสมอด้วยแพตช์ล่าสุดจากผู้ผลิตเพื่อลดความเสี่ยงจากช่องโหว่
- พัฒนาวิธีการที่ครอบคลุมซึ่งรวมถึง inventory management, assessment, การทดสอบ และการตรวจสอบแพตช์
- แยก Critical Assets ออกจากพื้นที่ที่มีความปลอดภัยต่ำ โดยใช้ไฟร์วอลล์, VLAN และการควบคุมการเข้าถึงเพื่อลดการเปิดเผยออกสู่อินเทอร์เน็ต
- จัดการแผนการตอบสนองต่อเหตุการณ์ให้ทันสมัยอยู่เสมอเพื่อจัดการกับเหตุการณ์ด้านความปลอดภัยได้อย่างมีประสิทธิภาพ
- ดำเนินการติดตั้งโซลูชันการตรวจสอบที่มีประสิทธิภาพเพื่อตรวจจับ และวิเคราะห์กิจกรรมที่น่าสงสัยทั่วทั้งเครือข่าย
- ประเมินระบบสำคัญอย่าง proactive เพื่อหาการอัปเกรด หรือการเปลี่ยนแปลงเพื่อหลีกเลี่ยงความเสี่ยงที่เกี่ยวข้องกับซอฟต์แวร์ที่ล้าสมัย
ที่มา : cyble
You must be logged in to post a comment.