Splunk ออกอัปเดตแพตช์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่หลายรายการใน Splunk Enterprise, Splunk Cloud Platform และ Splunk AI Toolkit ซึ่งอาจนำไปสู่การโจมตีแบบ DoS และการทำให้ข้อมูลสำคัญรั่วไหลได้
ช่องโหว่ดังกล่าวได้รับการเปิดเผยเมื่อวันที่ 20 พฤษภาคม 2026 โดยประกอบด้วยช่องโหว่ 3 รายการ ได้แก่ CVE-2026-20238, CVE-2026-20239 และ CVE-2026-20240
ช่องโหว่การเข้าถึง Splunk AI Toolkit (CVE-2026-20238)
ช่องโหว่ที่มีความรุนแรงระดับปานกลาง (CVSS 6.5) นี้ ส่งผลกระทบต่อ Splunk AI Toolkit เวอร์ชันก่อน 5.7.3 โดยช่องโหว่เกิดจากการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งเป็นผลมาจากการกำหนดค่า Role Inheritance ที่ผิดพลาด
โดยอย่างยิ่งคือ ชุดเครื่องมือดังกล่าวได้ทำการแก้ไขสิทธิ์ของ default ‘user’ role โดยใช้ไฟล์ authorize[.]conf ซึ่งมีรายการ srchFilter ระบุไว้
เนื่องจาก Splunk ทำการรวม inherited search filters เข้าด้วยกันโดยใช้ OR operator การกำหนดค่าลักษณะนี้จึงสามารถไปลบล้าง filters ที่มีความเข้มงวดมากกว่าซึ่งถูกนำไปใช้งานกับ custom roles ได้
ส่งผลให้ผู้ใช้ที่มีสิทธิ์ระดับต่ำซึ่งไม่มี ‘admin’ หรือ ‘power’ roles อาจสามารถเข้าถึงข้อมูลสำคัญที่ควรถูกจำกัดการเข้าถึงได้
Splunk ได้แก้ไขช่องโหว่ดังกล่าวแล้วในเวอร์ชัน 5.7.3 สำหรับวิธีการลดผลกระทบชั่วคราว องค์กรต่าง ๆ สามารถปิดการใช้งาน AI Toolkit หรือเข้าไปแก้ไขไฟล์ authorization.conf ด้วยตนเองเพื่อ remove หรือ override การตั้งค่า srchFilter
อย่างไรก็ตาม วิธีการแก้ปัญหาเฉพาะหน้านี้อาจเปิดโอกาสให้มีการเข้าถึง ai_agent_run_history_index ในวงกว้างมากขึ้น ซึ่งจำเป็นต้องมีการตั้งค่าการจำกัดสิทธิ์เพิ่มเติม
ช่องโหว่ข้อมูลรั่วไหลผ่าน Log (CVE-2026-20239)
ช่องโหว่ที่มีความรุนแรงระดับสูง (CVSS 7.5) นี้ ส่งผลกระทบต่อ Splunk Enterprise และ Splunk Cloud Platform
ช่องโหว่ดังกล่าวเกิดจากการจัดการข้อมูล output ที่ไม่เหมาะสมใน TcpChannel component ซึ่งจะทำการบันทึก input/output buffer ทั้งหมดลงใน Log เมื่อเกิด socket errors
ผู้โจมตีที่สามารถเข้าถึง _internal index จะสามารถดึงข้อมูลสำคัญ เช่น session cookies และ HTTP response bodies ออกมาจากไฟล์ Log ได้ ซึ่งเป็นการเพิ่มความเสี่ยงอย่างมากที่จะนำไปสู่การขโมยข้อมูล credential และการสวมรอย session ได้
เวอร์ชันที่ได้รับผลกระทบ ได้แก่
- Splunk Enterprise เวอร์ชันต่ำกว่า 10.2.2 และ 10.0.5
- Splunk Cloud Platform เวอร์ชันก่อนหน้าที่จะมีการออกรุ่นแพตช์แก้ไขในหลาย ๆ branch ที่ยังรองรับอยู่
Splunk ขอแนะนำให้อัปเกรดเป็นเวอร์ชันล่าสุดที่มีการแพตช์แก้ไขแล้ว และจำกัดการเข้าถึง _internal index ไว้สำหรับ administrative roles เท่านั้น
ช่องโหว่ Denial-of-Service ใน Splunk Archiver (CVE-2026-20240)
ช่องโหว่ที่มีความรุนแรงระดับสูงอีกหนึ่งรายการ (CVSS 7.1) ส่งผลกระทบต่อแอป Splunk Archiver เนื่องจากไม่มีการตรวจสอบความถูกต้องของข้อมูล input อย่างเหมาะสมในสคริปต์ coldToFrozen.sh ซึ่งสคริปต์นี้ถูกใช้สำหรับจัดการ data lifecycle transitions
ผู้ใช้ที่มีสิทธิ์ระดับต่ำสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวโดยการระบุ file paths ใด ๆ ก็ได้ ซึ่งจะทำให้พวกเขาสามารถเปลี่ยนชื่อ directories ของระบบที่สำคัญได้ การกระทำดังกล่าวอาจทำให้ instance ของ Splunk ไม่สามารถใช้งานได้ และส่งผลให้เกิดการโจมตีแบบ DOS ในที่สุด
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Splunk Enterprise หลายเวอร์ชัน (ก่อนเวอร์ชัน 10.2.2, 10.0.5, 9.4.11 และ 9.3.12) รวมถึงระบบ Splunk Cloud Platform ที่ติดตั้งใช้งานอยู่
องค์กรต่าง ๆ ได้รับคำแนะนำให้ทำการอัปเดตแพตช์โดยทันที หรือปิดการทำงานของแอป Splunk Archiver หากไม่ได้ใช้งาน อย่างไรก็ตาม การปิดแอปดังกล่าวอาจทำให้ระบบ automated data archiving workflows หยุดการทำงานได้
Splunk ขอแนะนำให้ผู้ใช้งานดำเนินการดังต่อไปนี้
- อัปเกรด components ที่ได้รับผลกระทบทั้งหมดให้เป็นเวอร์ชันล่าสุด
- จำกัดการเข้าถึง indexes ที่สำคัญ เช่น _internal
- ตรวจสอบการควบคุมการเข้าถึง role และสิทธิ์ที่มีการสืบทอดมา (inherited permissions)
- ปิดการใช้งานแอปที่มีช่องโหว่หากยังไม่สามารถอัปเดตแพตช์ได้ในทันที
ช่องโหว่เหล่านี้ แสดงให้เห็นถึงความเสี่ยงที่เกี่ยวข้องกับการกำหนดค่าการควบคุมการเข้าถึงที่ผิดพลาด, การตรวจสอบความถูกต้องของข้อมูล input ที่ไม่เพียงพอ และแนวทางการบันทึก Log ที่ไม่ปลอดภัย
การอัปเดตแพตช์ และการจัดการการกำหนดค่าอย่างเหมาะสม ยังคงเป็นสิ่งสำคัญในการรักษาความปลอดภัยให้กับสภาพแวดล้อมการทำงานของ Splunk เพื่อป้องกันการถูกนำช่องโหว่ไปใช้ในการโจมตี
ที่มา : Cybersecuritynews
You must be logged in to post a comment.