Beveiligingsbeheer: enkele kritieke gaten in Splunk gedicht


De ontwikkelaars hebben verschillende beveiligingslekken gedicht in het beveiligingsinformatie- en gebeurtenisbeheersysteem (SIEM) Splunk van de gelijknamige fabrikant. Het bedrijf meldt in totaal acht kwetsbaarheden. Onder hen is er één met kritieke ernst, vijf met hoog, één met gemiddeld en één met ongedefinieerd risico voor gebruikers.

De kritieke kwetsbaarheid treft de Splunk Enterprise Deployment Server. Hiermee kunnen klanten zogenaamde “forwarderbundels” aan andere klanten leveren. Van daaruit kan een aanvaller, als hij een universele doorstuurserver heeft gecompromitteerd, willekeurige code uitvoeren op alle andere universele doorstuurservers die zijn verbonden met dezelfde implementatieserver (CVE-2022-32158, CVSS 9.0risico “kritisch“).

Bovendien maakten de Splunk Enterprise Deployment Servers het ongeauthenticeerd downloaden van de forwarder-bundels mogelijk (CVE-2022-32157, CVSS 7,5, hoog). De overige risicovolle kwetsbaarheden hebben met name betrekking op de onvoldoende afhandeling van TLS-certificaten (CVE-2022-32151, CVE-2022-32152, CVE-2022-32153, CVE-2022-32156).

De cloudversie wordt niet beïnvloed door de meeste beveiligingslekken, schrijft Splunk in de beveiligingswaarschuwingen. Alleen de kwetsbaarheid van gemiddelde ernst, waardoor aanvallers riskante zoekopdrachten in formuliertokens konden injecteren, had ook invloed op de cloud – maar het was daar al verzegeld door de fabrikant (CVE-2022-32154, CVSS 6.8, medium). Zonder risicobeoordeling voegt Splunk eraan toe dat de universele forwarders standaard logins vanaf het netwerk toestaan. In de bijgewerkte versie bindt het beheer zich aan localhost, wat inloggen vanaf het netwerk verhindert (CVE-2022-32155).

Volgens Splunk is er tot op heden geen bewijs dat de kwetsbaarheden worden misbruikt door externe aanvallers. De fabrikant lost de fout op met versie 9.0 van de software. Het is pas recent verschenen, waardoor sommige bestuurders vrezen dat het nog niet volledig ontwikkeld is. IT-managers die nog oudere versies zoals 8.x gebruiken, moeten desondanks tijdig een onderhoudsvenster plannen voor de migratie naar de nieuwe versie om hun systemen te beschermen.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: