Vulnerabilidad crítica de ejecución de código parcheada en Splunk Enterprise

Splunk anunció esta semana el lanzamiento de parches out-of-band que abordan múltiples vulnerabilidades en Splunk Enterprise, incluido un problema crítico que podría conducir a la ejecución de código arbitrario. Al proporcionar capacidades de búsqueda y monitoreo de big data, Splunk utiliza servidores de implementación de Splunk Enterprise para distribuir configuraciones y actualizaciones de contenido a varias instancias de Enterprise, incluidos los forwarders, indexadores y search heads.

Impacto de la vulnerabilidad

Registrada como CVE-2022-32158 (CVSSv3.1 de 9.0), la vulnerabilidad crítica recientemente abordada existe porque los servidores de implementación de Splunk Enterprise anteriores a la versión 9.0 permiten a los clientes aprovechar el servidor para implementar paquetes de forwarders a otros clientes . Debido a este problema, un atacante podría comprometer un punto final de Universal Forwarder y luego abusar de él para ejecutar código arbitrario en otros puntos finales conectados al servidor de implementación.

Esta semana, la compañía también anunció que resolvió varios errores de alta gravedad en Splunk Enterprise, incluido uno en el que los servidores de implementación en versiones anteriores a la 9.0 permiten descargar paquetes de forwarders sin autenticación CVE-2022-32157 (CVSSv3.1 de 7.5).

Productos afectados:

Los productos y versiones afectos son los siguientes:

ProductoVersión Afectada
Splunk EnterpriseVersiones anteriores a la 9.0

Splunk Cloud Platform (SCP) no se ve afectada por estas vulnerabilidades, ya que no ofrece ni utiliza servidores de implementación.

Recomendaciones:

  • Para el CVE-2022-32158, Splunk sugiere actualizar los servidores de implementación de Splunk Enterprise a la versión 9.0 o superior.
  • Para el CVE-2022-32157, Splunk sugiere actualizar los servidores de implementación de Splunk Enterprise a la versión 9.0 o superior, actualizar Universal Forwarders a la versión 9.0 o superior y configurar la autenticación para servidores y clientes de implementación.

Para mayor información: