CSIRT Panamá Aviso 2024-07-3 Splunk: Actualización de seguridad de Splunk Enterprise / Cloud Plataforma

TOPICS:

Posted By: CSIRT Panamá July 3, 2024

Gravedad: Alta                                                                                 

Fecha de publicación: julio 3, 2024
Última revisión: julio 3, 2024 Sitio web: splunk.com

Sistemas Afectados:

  • Splunk Enterprise (9.0.x. / 9.1.x / 9.2.x)
  • Splunk Cloud Platform (9.1.2312   / 9.1.2308)

I. Descripción

Se han publicado varias vulnerabilidades que afectan a los productos Splunk Enterprise y Cloud Platforma.

II. Impacto

    El comunicado de seguridad, indica 15 vulnerabilidades: 5 de severidad alta, 10 de severidad media.

    SVDDateVulnerabilidadSeveridadCVE
    SVD-2024-07172024-07-01Secuencias de comandos entre sitios (XSS) persistentes en el punto final REST conf-web/settingsMediaCVE-2024-36997
    SVD-2024-07162024-07-01Divulgación de información de nombres de usuarioMediaCVE-2024-36996
    SVD-2024-07152024-07-01Un usuario con pocos privilegios podría crear elementos experimentalesMediaCVE-2024-36995
    SVD-2024-07142024-07-01Secuencias de comandos entre sitios (XSS) persistentes en elementos del panelMediaCVE-2024-36994
    SVD-2024-07132024-07-01Secuencias de comandos entre sitios (XSS) persistentes en boletines webMediaCVE-2024-36993
    SVD-2024-07122024-07-01Secuencias de comandos entre sitios (XSS) persistentes en elementos del panelMediaCVE-2024-36992
    SVD-2024-07112024-07-01Recorrido de ruta en el punto final “/modules/messaging/“ en Splunk Enterprise en WindowsAltaCVE-2024-36991
    SVD-2024-07102024-07-01Denegación de servicio (DoS) en el punto final REST del modelo de datos/webMediaCVE-2024-36990
    SVD-2024-07092024-07-01Un usuario con pocos privilegios podría crear notificaciones en los mensajes de Splunk Web BulletinMediaCVE-2024-36989
    SVD-2024-07072024-07-01Carga de archivos insegura en el punto final REST de indexación/vista previaMediaCVE-2024-36987
    SVD-2024-07062024-07-01Comandos riesgosos evitan las protecciones mediante consultas de ID de búsqueda en Analytics WorkspaceMediaCVE-2024-36986
    SVD-2024-07052024-07-01Ejecución remota de código (RCE) a través de una búsqueda externa debido al script “copybuckets.py” en la aplicación “splunk_archiver” en Splunk EnterpriseAltaCVE-2024-36985
    SVD-2024-07042024-07-01Ejecución remota de código a través de la carga útil de sesión serializada en Splunk Enterprise en WindowsAltaCVE-2024-36984
    SVD-2024-07032024-07-01Inyección de comandos mediante búsquedas externasAltaCVE-2024-36983
    SVD-2024-07022024-07-01Denegación de servicio a través de una referencia de puntero nulo en el punto final REST “cluster/config”AltaCVE-2024-36982

    El comunicado de seguridad comparte 3 notas de importantes:

    SVD-2024-0701 – Ejecución remota de código a través del componente de generación de PDF del panel de control       – Severidad Alta

    En las versiones de Splunk Enterprise anteriores a 9.2.2, 9.1.5 y 9.0.10 y en las versiones de Splunk Cloud Platform anteriores a 9.1.2312.109 y 9.1.2308.203, un usuario autenticado podría ejecutar código arbitrario a través del componente de generación de PDF del panel de control.

    El punto de conexión REST pdfgen/render utiliza una versión vulnerable de la biblioteca Python ReportLab Toolkit (v3.6.1) con una vulnerabilidad de ejecución de código remoto.

    SVD-2024-0718  – Actualizaciones de paquetes de terceros en Splunk Enterprise: julio de 2024 – Severidad Alta

    Splunk solucionó vulnerabilidades y exposiciones comunes (CVE) en paquetes de terceros en las versiones 9.2.1, 9.1.4, 9.0.9 y superiores de Splunk Enterprise.

    SVD-2024-0708 – La biblioteca criptográfica OpenSSL (libcrypto.so) se compiló incorrectamente con el bit de ejecución de pila configurado en Splunk Enterprise y Universal Forwarder en ciertos sistemas operativos          – Severidad Baja 

    En ciertas versiones específicas y arquitecturas de plataforma de Splunk Enterprise y Universal Forwarder, la biblioteca criptográfica para OpenSSL (libcrypto.so) se compiló incorrectamente con su bit de ejecución de pila establecido. Establecer el bit ejecutable en archivos de biblioteca .so no es una vulnerabilidad directa.

    III. Referencia a soluciones, herramientas e información

    Instalar las actualizaciones correspondientes, según indique el fabricante.

    Versiones parchadas:

    Splunk Enterprise: 9.2.2, 9.1.5 y 9.0.10;

    Splunk Cloud Plataforma: 9.1.2312.109 y 9.1.2308.207.

    Soporte: https://advisory.splunk.com/advisories

    Fuentes:

    1. CSIRT Chile. Avisos Seguridad, Splunk Enterprise y otros – Vulnerabilidades. 2 de julio del 2024. Recopilado en: https://csirt.gob.cl/alertas/vsa24-01038/
    2. Splunk Oficial.  1 de julio del 2024. Security Advisories. Recopilado en: https://advisory.splunk.com/advisories

    Información de contacto
    CSIRT PANAMA
    Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
    E-Mail: info@cert.pa
    Phone: +507 520-CERT (2378)
    Web: https://cert.pa
    Twitter: @CSIRTPanama
    Key ID: 16F2B124