Vulnerabilidades encontradas en Splunk Add-on Builder

Splunk ha emitido una advertencia urgente para los usuarios de Splunk Add-on Builder, tras la reciente identificación de dos vulnerabilidades críticas que amenazan la confidencialidad y la integridad de la información gestionada por la plataforma.

La vulnerabilidad, identificada como CVE-2023-46231 y con una puntuación CVSS de 8.8, revela que las versiones previas a 4.1.4 del Add-on Builder comprometen la seguridad al escribir tokens de sesión de usuario en archivos de registro internos.

La segunda vulnerabilidad, identificada como CVE-2023-46230 con una puntuación CVSS de 8.2, también afecta a las mismas versiones y expone datos confidenciales, incluidas credenciales de proxy y cuentas globales, así como campos de contraseña definidos por el usuario en los parámetros de entrada de datos y de configuración de add-ons.

Ambas vulnerabilidades requieren un acceso local a los archivos de registro o un acceso administrativo a índices internos para ser explotadas, poniendo en riesgo la integridad de los datos y la privacidad de las operaciones en entornos empresariales críticos.

Versiones Afectadas

Estas vulnerabilidades afectan a todas las versiones:

  • Splunk Add-on Builder anteriores a 4.1.4.

La naturaleza de las vulnerabilidades significa que cualquier dato sensible, incluyendo credenciales de acceso y tokens de sesión, que haya sido procesado o gestionado por versiones anteriores a la 4.1.4 podría estar en riesgo de exposición no autorizada.

Solución

Ante la identificación de estas vulnerabilidades de alto riesgo, se requiere una acción inmediata para proteger su infraestructura de Splunk. Se recomienda encarecidamente seguir estos pasos detallados para mitigar las amenazas identificadas:

  • Actualizar Splunk Add-on Builder a la versión 4.1.4 o superior
  • Eliminar Archivos de Registro: Después de la actualización, elimine todos los archivos de registro del Splunk Add-on Builder que se encuentran en $SPLUNK_HOME/var/log/splunk/.

Los archivos específicos a eliminar son:

splunk_app_addon-builder_default_metric_events.log

splunk_app_addon-builder_ta_builder_validation.log

splunk_app_addon-builder_ta_builder.log

splunk_app_addon-builder_validation_engine.log

  • Eliminar Eventos de Registro: Utilice el siguiente comando de Splunk para eliminar todos los eventos de registro del Add-on Builder:

index=_* sourcetype=»splunk:tabuilder:log» | delete

Tenga en cuenta que este comando requiere el rol ‘can_delete’, el cual no se asigna por defecto a los administradores.

  • Reiniciar Splunk Enterprise: Una vez eliminados los registros, es vital reiniciar la instancia de Splunk Enterprise para que los cambios surtan efecto y para invalidar cualquier token de sesión que pudiera haber sido comprometido.
  • Rotar y Cambiar Credenciales: Es crucial cambiar todas las credenciales, tokens e información sensible que hayan sido almacenadas en los Parámetros de Entrada de Datos y en los Parámetros de Configuración de Add-on para las entradas modulares. Esto incluye:

Credenciales de proxy

Credenciales de Cuentas Globales

Campos de Contraseña definidos por el usuario bajo los Parámetros de Entrada de Datos

Campos de Contraseña definidos por el usuario bajo los Parámetros de Configuración de Add-on

Esta secuencia de pasos asegurará que su sistema esté protegido contra estas vulnerabilidades específicas y ayudará a salvaguardar la integridad de su entorno Splunk frente a futuros riesgos de seguridad.

Recomendaciones

  • Concientizar al personal sobre prácticas seguras de gestión de información y establecer procedimientos de respuesta ante incidentes para manejar adecuadamente las posibles brechas de datos.
  • Implementar políticas de acceso mínimo necesario y revisar los roles y capacidades en su instancia de Splunk para restringir el acceso a índices internos solo a roles de administrador.
  • Realizar auditorías regulares de seguridad para identificar y mitigar proactivamente las vulnerabilidades antes de que puedan ser explotadas.

Referencias