Splunk ได้เปิดเผยช่องโหว่ที่มีระดับความรุนแรงสูงใน Splunk Enterprise สำหรับ Windows ซึ่งทำให้ผู้ใช้งานที่สิทธิ์ระดับต่ำสามารถยกระดับสิทธิ์ตนเองไปสู่ระดับ SYSTEM ได้ผ่านเทคนิคการโจมตีที่เรียกว่า DLL Search-Order Hijacking โดยการหลอกให้ระบบเรียกใช้งานไฟล์ DLL ปลอมที่แฮ็กเกอร์นำมาวางดักไว้

เมื่อวันที่ 18 กุมภาพันธ์ 2026 มีประกาศแจ้งเตือนด้านความปลอดภัย SVD-2026-0205 ถึงช่องโหว่หมายเลข CVE-2026-20140 ซึ่งมีระดับความรุนแรงสูง (CVSSv3.1 score 7.7) ช่องโหว่นี้ถูกจัดประเภทให้อยู่ในกลุ่ม CWE-427 (การควบคุมเส้นทางการค้นหาไฟล์ที่หละหลวม - Uncontrolled Search Path Element)

ช่องโหว่นี้อยู่ใน Splunk Enterprise สำหรับ Windows เวอชันต่ำกว่า 10.2.0, 10.0.3, 9.4.8, 9.3.9 และ 9.2.12 โดยทำให้ผู้โจมตีที่แม้มีสิทธิ์การเข้าถึงระบบระดับต่ำ แต่สามารถยกระดับสิทธิ์ตัวเองได้ โดยการสร้างไดเรกเทอรี่ในไดร์ฟระบบที่ติดตั้ง Splunk ไว้ จากนั้นทำการวางไฟล์ DLL อันตรายลงไป

เมื่อบริการ Splunk Enterprise เริ่มทำงานใหม่ ตัวโปรแกรมอาจโหลดไฟล์ DLL อันตรายดังกล่าวนั้นขึ้นมาทำงานด้วย เนื่องจากระบบมีช่องโหว่ในกลไกการค้นหาไฟล์ที่ไม่ปลอดภัย และความน่ากลัวคือซอฟต์แวร์นี้ทำงานด้วยสิทธิ์สูงสุดของเครื่อง (SYSTEM) มัลแวร์จึงได้รับสิทธิ์สูงสุดนั้นตามไปด้วย ทำให้ผู้โจมตีสามารถควบคุมเครื่องได้อย่างสมบูรณ์

ข้อมูลจากเกณฑ์การประเมิน CVSS ได้ระบุลักษณะสำคัญของการโจมตีนี้ไว้หลายประการ ดังนี้

ผู้โจมตีไม่สามารถเจาะช่องโหว่นี้ผ่านเครือข่ายได้โดยตรง แต่ต้องหาทางล็อกอินเข้าถึงเครื่องเป้าหมายด้วยสิทธิ์ระดับต่ำให้ได้ก่อน (AV:L - Local Access)
การโจมตีต้องอาศัยการเตรียมการหลายขั้นตอน และตัวมัลแวร์จะยังไม่ทำงานจนกว่าจะมีการสั่งรีสตาร์ทโปรแกรม Splunk (AC:H - High Complexity และ UI:R - User Interaction Required)
เมื่อโจมตีสำเร็จ แฮ็กเกอร์จะสามารถยกระดับสิทธิ์ระดับต่ำของตนเอง (S:C - Scope Changed) และเข้าควบคุมระบบได้อย่างสมบูรณ์ ส่งผลกระทบรุนแรงขั้นสุดทั้งในด้านการถูกขโมยข้อมูล การถูกดัดแปลงแก้ไข และการทำให้ระบบล่ม (C:H, I:H, A:H - High impact on Confidentiality, Integrity, and Availability)

เวอชันทีได้รับผลกระทบ และเวอชันที่แก้ไขแล้วมีดังนี้

ปัจจุบัน Splunk ได้แก้ไขช่องโหว่ดังกล่าวแล้วในเวอร์ชัน 10.2.0, 10.0.3, 9.4.8, 9.3.9 และ 9.2.12 แล้ว องค์กรที่ใช้งาน Splunk Enterprise บน Windows ควรเร่งดำเนินการติดตั้งแพตช์อัปเดตให้เป็นเวอร์ชันดังกล่าวโดยเร็วที่สุด

สำหรับองค์กรที่ยังไม่สามารถดำเนินการอัปเดตระบบได้ทันที ผู้ดูแลระบบควรตั้งค่าจำกัดสิทธิ์ Write Permissions ในโฟลเดอร์ต่าง ๆ บน System drive เพื่อป้องกันไม่ให้ผู้ไม่หวังดีสามารถแอบนำไฟล์ DLL ปลอมมาวางไว้ได้

ในขณะนี้ยังไม่มีรายงานการตรวจพบ หรือการโจมตีที่เกิดขึ้นจริงในระบบ ช่องโหว่นี้ได้รับการเปิดเผยโดยนักวิจัยด้านความปลอดภัย Marius Gabriel Mihai

ที่มา : cybersecuritynews

Splunk ได้ออกคำแนะนำล่าสุดที่มีรายละเอียดถึงช่องโหว่หลายรายการที่ถูกค้นพบในซอฟต์แวร์ Splunk Enterprise คำแนะนำนี้แบ่งช่องโหว่เป็นสามระดับตามคะแนน CVSS โดยรวมแล้วมีช่องโหว่สองรายการที่จัดอยู่ในระดับความรุนแรงสูง ซึ่งมีคะแนนความเสี่ยงที่ถือว่า Critical ส่วนความรุนแรงระดับปานกลางมีช่องโหว่แปดรายการ และมีช่องโหว่หนึ่งรายการที่จัดอยู่ในระดับความรุนแรงต่ำ (more…)

ในวันพฤหัสบดีที่ผ่านมา (25 พ.ค. 2023) Splunk ประกาศการอัปเดตแพตซ์ด้านความปลอดภัยของ Splunk Enterprise เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการ รวมถึงบางรายการที่มีผลกระทบต่อ third-party packages ที่ใช้ผลิตภัณฑ์นี้

ช่องโหว่ที่รุนแรงที่สุดคือ CVE-2023-32707 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำที่มีความสามารถ 'edit_user' ยกระดับสิทธิ์เป็นผู้ดูแลระบบผ่าน web request ที่ถูกสร้างขึ้นโดยเฉพาะ

Splunk อธิบายว่า "สาเหตุเกิดขึ้นเนื่องจากความสามารถ 'edit_user' ไม่เป็นไปตามการตั้งค่า 'grantableRoles' ในไฟล์ configuration authorize.

นอกเหนือจากความพร้อมของข้อมูลที่จะถูกใช้เพื่อระบุหาการมีอยู่ของภัยคุกคาม ปัจจัยที่มีความสำคัญอีกปัจจัยหนึ่งซึ่งจะการันตีความสำเร็จของการระบุหาภัยคุกคามในรูปแบบของ Threat hunting นั้น คือการคิดค้นและพัฒนาสมมติฐานหรือไอเดียที่จะใช้ในการระบุการมีอยู่ของภัยคุกคามดังกล่าวในเชิงรุก (proactive) รวมไปถึงการประเมินและปรับปรุงให้สมมติฐานหรือ Hunting use case นั้นสามารถใช้งานได้จริงและเกิดประสิทธิภาพ

ในบทความนี้ทีมตอบสนองภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาสาธิตการพัฒนา Hunting use case บนเทคโนโลยีซึ่งเรามีความถนัด 2 เทคโนโลยี ได้แก่ CrowdStrike Falcon ซึ่งจะทำหน้าที่เป็นส่วน Endpoint detection and response (EDR) ในการเก็บข้อมูลจากระบบต่างๆ มาระบุหาการมีอยู่ของภัยคุกคามโดยใช้ Splunk Search Processing Language (SPL) กับฟีเจอร์ CrowdStrike Events App ซึ่งใช้ Splunk เป็นเทคโนโลยีหลังบ้านหลักครับ

สำหรับสถานการณ์จำลองที่ทีมตอบสนองภัยคุกคามจะสาธิตการทำ Threat hunting นั้น เราจะทำการพัฒนา SPL โดยนำแนวคิดมาจาก Hunting use case ซึ่งถูกเผยแพร่โดย Red Canary ในงาน BlackHat USA 2019 ภายใต้หัวข้อ Fantastic Red Team Attacks and How to Find Them
Fantastic Red Team Attacks and How to Find Them - A Summary
ก่อนที่เราจะไปดูกันที่ใจความสำคัญของบล็อกนี้ เราจำเป็นที่จะต้องเข้าใจเนื้อหาและเป้าหมายของหัวข้อการบรรยายจากทาง Red Canary ก่อน สำหรับการบรรยายในหัวข้อ Fantastic Red Team Attacks and How to Find Them นั้น Casey Smith ซึ่งปัจจุบันดำรงตำแหน่ง Director of applied research ของ Red Canary ได้มีการเปิดเผยเทคนิคการโจมตีใหม่ซึ่งใช้ไบนารี dbgsrv.