Vulnerabilità critiche in Splunk Enterprise e Universal Forwarder

I ricercatori di sicurezza hanno scoperto due vulnerabilità ad alto rischio (CVE-2025-20386 e CVE-2025-20387, con severity CVSS 8.0) che interessano la piattaforma Splunk Enterprise e i componenti Universal Forwarder.

Queste vulnerabilità derivano da autorizzazioni errate sui file di configurazione durante la distribuzione del software sui sistemi Windows, consentendo agli utenti non amministratori di accedere alla directory di installazione di Splunk e al suo intero contenuto.

Questa vulnerabilità non è una tradizionale vulnerabilità di esecuzione di codice remoto, ma piuttosto amplia la superficie di attacco attraverso un degrado della sicurezza locale. Nelle versioni interessate:

• Nuove installazioni o aggiornamenti potrebbero causare errori di configurazione delle autorizzazioni
• Gli utenti standard possono leggere file di configurazione e registri sensibili e possono persino manomettere i file nella directory.
• La piattaforma principale e il proxy di inoltro interessano le versioni di Windows precedenti a 10.0.2/9.4.6/9.3.8/9.2.10.

Splunk ha rilasciato una versione corretta e si consiglia agli utenti di aggiornarla immediatamente:

• Splunk Enterprise 10.0.2/9.4.6/9.3.8/9.2.10 o versioni successive
• Versione Universal Forwarder

Per gli utenti che non possono effettuare l’aggiornamento immediatamente, è possibile eseguire i seguenti comandi utilizzando lo strumento icacls di Windows per risolvere manualmente il problema:

1. Disabilita l’ereditarietà: icacls.exe “<percorso\verso\directory di installazione>” /inheritance:d
2. Rimuovi l’accesso degli utenti predefiniti: icacls.exe “<percorso\verso\directory di installazione>” /remove:g *BU/T/C
3. Rimuovere l’accesso degli utenti autenticati: icacls.exe “<percorso\verso\directory di installazione>” /remove:g *S-1-5-11/T/C
4. Riattivare l’ereditarietà (in modo sicuro): icacls.exe “<percorso\verso\directory di installazione>” /inheritance:e /T/C

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks