Инструмент для взлома Splunk Enterprise угрожает сотням всемирно известных компаний

Независимый исследователь в сфере кибербезопасности выпустил Proof-of-Concept (PoC) эксплойт для использования RCE-уязвимости CVE-2023-46214 в популярной системе мониторинга и анализа данных Splunk, точнее в корпоративном продукте компании — Enterprise. Эксплойт позволяет удалённо выполнять произвольный код на уязвимых серверах, в связи с чем уязвимости присвоен высокий уровень опасности (8.8 баллов по шкале CVSS).

Splunk Enterprise представляет собой решение для сбора и анализа разнообразных данных, генерируемых инфраструктурой и бизнес-приложениями организации. Эти данные затем используются для получения полезных аналитических выводов, помогающих улучшить работу систем безопасности, соответствия требованиям, доставки приложений, IT-операций и других аспектов бизнеса.

Среди сотен клиентов Splunk множество компаний с мировым именем, включая Intel, Lenovo, Zoom, Bosch, Coca-Cola, Papa Johns, Honda, Puma и прочих.

Уязвимость CVE-2023-46214 связана с некорректной фильтрацией расширяемого языка таблиц стилей (XSLT), который пользователи Splunk могут загружать. Это даёт возможность потенциальным злоумышленникам передать вредоносный XSLT-код, который приведёт к удалённому выполнению кода на сервере Splunk Enterprise.

Согласно информации от разработчиков Splunk, уязвимость затрагивает версии с 9.0.0 до 9.0.6 и с 9.1.0 до 9.1.1. Также под ударом оказались версии Splunk Enterprise 8.x и облачный сервис Splunk Cloud ниже версии 9.1.2308.

Исследователь безопасности, опубликовавший эксплойт, рассмотрел уязвимость максимально подробно в отдельном отчёте . Согласно полученным данным, для запуска атаки требуется предварительная аутентификация в системе (знание валидных учётных данных пользователей), а также некоторые пользовательские действия на целевом сервере.

Разработчики Splunk уже выпустили обновления 9.0.7 и 9.1.2, устраняющие уязвимость CVE-2023-46214. Если немедленное обновление невозможно, в качестве временной меры рекомендуется отключить возможность загрузки XML-стилей для поисковых заданий. Кроме того, команда Splunk предоставила подробную информацию об уязвимости, которая может пригодиться специалистам по безопасности.