Vulnerabilità Critiche in Splunk Enterprise Consentono l’Esecuzione di Codice Remoto

RHC Dark Lab : 3 Luglio 2024 18:09

Splunk, un leader nella fornitura di software per la ricerca, il monitoraggio e l’analisi dei big data generati dalle macchine, ha rilasciato aggiornamenti di sicurezza urgenti per il suo prodotto di punta, Splunk Enterprise.

Questi aggiornamenti affrontano diverse vulnerabilità critiche che rappresentano significativi rischi per la sicurezza, inclusa la possibilità di esecuzione di codice remoto (RCE). Le versioni interessate includono *9.0.x, 9.1.x e 9.2.x, e le vulnerabilità sono state identificate sia da ricercatori interni che esterni.

Vulnerabilità Chiave Affrontate

Le vulnerabilità critiche corrette in questi aggiornamenti sono le seguenti:

1. CVE-2024-36984: Questa vulnerabilità riguarda l’esecuzione arbitraria di codice tramite payload di sessione serializzati. Gli attaccanti potrebbero sfruttare questo difetto per eseguire comandi arbitrari sul server manipolando i dati della sessione.
2. CVE-2024-36985: Questa vulnerabilità RCE è legata a una ricerca esterna nell’applicazione splunk_archiver. Gli attaccanti che sfruttano questa vulnerabilità possono eseguire codice in remoto, potenzialmente ottenendo il controllo sui sistemi interessati.
3. CVE-2024-36991: I dettagli di questo problema critico non sono stati divulgati, ma è stato categorizzato come un rischio di sicurezza significativo che richiede attenzione immediata.
4. CVE-2024-36983: Un’altra grave vulnerabilità è l’iniezione di comandi tramite ricerche esterne. Iniettando comandi nei campi di ricerca, gli attaccanti possono eseguire comandi arbitrari, portando a una compromissione del sistema.
5. CVE-2024-36982: Questo problema riguarda un riferimento nullo al puntatore che può causare il crash dei daemon. Anche se potrebbe non portare all’esecuzione diretta di codice, può interrompere la disponibilità del servizio e potenzialmente essere sfruttato in attacchi di tipo denial-of-service.

Ulteriori Vulnerabilità

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Oltre ai problemi critici sopra menzionati, sono state affrontate diverse vulnerabilità di Cross-Site Scripting (XSS). Le vulnerabilità XSS consentono agli attaccanti di iniettare script dannosi nelle pagine web visualizzate da altri utenti, portando potenzialmente al furto di dati, al dirottamento delle sessioni o ad altre attività dannose.

Mitigazione e Raccomandazioni

Splunk ha rilasciato patch per mitigare queste vulnerabilità. Gli utenti che utilizzano versioni interessate di Splunk Enterprise sono fortemente incoraggiati ad aggiornare alle seguenti versioni:

• 9.0.10
• 9.1.5
• 9.2.2

Queste versioni contengono le correzioni necessarie per proteggere i sistemi dalle vulnerabilità identificate. L’applicazione tempestiva di questi aggiornamenti è fondamentale per mantenere la sicurezza e l’integrità degli ambienti Splunk.

Per gli utenti della Splunk Cloud Platform, gli aggiornamenti vengono applicati automaticamente e il monitoraggio continuo è in atto per garantire la sicurezza delle istanze cloud.

Importanza degli Aggiornamenti Tempestivi

Il rilascio di questi aggiornamenti sottolinea l’importanza di una rapida applicazione delle patch per mantenere un ambiente IT sicuro. Data la natura delle vulnerabilità, in particolare quelle che consentono l’esecuzione di codice remoto, l’impatto potenziale di un exploit potrebbe essere grave, variando dall’accesso non autorizzato ai dati alla completa compromissione del sistema.

Le organizzazioni che fanno affidamento su Splunk Enterprise per l’analisi e il monitoraggio dei dati critici dovrebbero prioritizzare questi aggiornamenti nei loro protocolli di sicurezza. Oltre ad applicare le patch, è consigliabile rivedere le configurazioni di sicurezza, auditare i log di sistema per attività insolite e assicurarsi che vengano condotte valutazioni di sicurezza regolari.

Conclusione

La scoperta e la mitigazione di queste vulnerabilità critiche in Splunk Enterprise evidenziano le sfide continue nella sicurezza dei sistemi software complessi. Con l’evolversi delle minacce, le misure proattive, tra cui l’applicazione tempestiva delle patch e il monitoraggio continuo, sono essenziali per proteggere contro potenziali exploit. La rapida risposta di Splunk nell’affrontare questi problemi serve a ricordare il ruolo critico che gli aggiornamenti di sicurezza tempestivi giocano nella protezione degli asset e dell’integrità dei dati delle organizzazioni.

RHC Dark Lab
RHC Dark Lab è un gruppo di esperti della community di Red Hot Cyber dedicato alla Cyber Threat Intelligence guidato da Pietro Melillo. Partecipano al collettivo, Sandro Sana, Alessio Stefan, Raffaela Crisci, Vincenzo Di Lello, Edoardo Faccioli e altri membri che vogliono rimanere anonimi. La loro missione è diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese, coinvolgendo non solo gli specialisti del settore ma anche le persone comuni. L'obiettivo è diffondere i concetti di Cyber Threat Intelligence per anticipare le minacce.

Lista degli articoli