Vulnerabilidad RCE en Splunk Enterprise

Se ha identificado una vulnerabilidad de alta severidad en Splunk Enterprise, la plataforma de software reconocida por su capacidad para buscar, monitorear y analizar grandes volúmenes de datos generados por máquinas en tiempo real.

A continuación, se ofrece un análisis detallado de la vulnerabilidad reportada:

  • CVE-2024-36985 (CVSS 8.8): Esta vulnerabilidad permite que un usuario de bajo privilegio, que no tenga roles administrativos, ejecute código de forma remota a través de una búsqueda externa que hace referencia a la aplicación splunk_archiver. El problema radica en un script llamado copybuckets.py, que invoca otro script (erp_launcher.py) y ejecuta un shell bash con argumentos proporcionados por el usuario, lo que puede llevar a la ejecución remota de código (RCE)​.

Productos, versiones afectadas y corregidas:

ProductoVersión afectadaVersión corregida
Splunk Enterprise9.2.0 a 9.2.19.2.2
Splunk Enterprise9.1.0 a 9.1.49.1.5
Splunk Enterprise9.0.0 a 9.0.99.0.10

Recomendaciones:

  • Actualizar Splunk Enterprise a la última versión disponible lo antes posible para mitigar los riesgos potenciales.
  • Limitar el uso de consultas externas que puedan exponer a riesgos de ejecución de código remoto.
  • Implementar el principio de menor privilegio asignando solo los accesos necesarios a cada usuario para reducir riesgos de seguridad.

Referencias: