Vulnerabilidad RCE afecta a Splunk Enterprise

Se ha identificado dos vulnerabilidades de severidad alta en Splunk Enterprise para Windows. Estas vulnerabilidades pueden ser explotadas por usuarios con bajos privilegios y la ejecución remota de código (RCE)​, esto debido a configuraciones inseguras. Si se aprovechan, estas fallas podrían comprometer la integridad y seguridad del sistema, permitiendo a los atacantes tomar control no autorizado de los servidores afectados y realizar modificaciones maliciosas.

• CVE-2024-45731 (CVSS 8.0): Esta vulnerabilidad permite a un atacante crear una DLL maliciosa que, si es cargada por el sistema, podría resultar en la ejecución remota del código contenido en la DLL. Esto ofrece al atacante una vía para obtener accesos con elevación de privilegio, comprometiendo la seguridad del sistema y ejecutando código potencialmente dañino. Si bien la vulnerabilidad requiere interacción del usuario, el impacto puede ser significativo si se explota con éxito.

• CVE-2024-45733 (CVSS 8.8): Esta vulnerabilidad permite a un usuario con pocos privilegios, que no tenga los roles de «administrador«, aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema. Esto permitiría al atacante realizar acciones no autorizadas dentro de la plataforma, comprometiendo datos críticos y controlando procesos en el entorno afectado. La falta de restricciones adecuadas sobre el almacenamiento de sesiones representa un riesgo significativo, ya que un atacante podría alterar el comportamiento del sistema sin necesidad de interacciones adicionales por parte de los usuarios legítimos.

CVE	Producto Afectado	Versión Afectada	Solución
CVE-2024-45731	Splunk Enterprise	Versión 9.3.0.     Desde la versión 9.2 hasta la 9.2.2.   Desde la versión 9.1 hasta la 9.1.5.	Actualizar a la versión 9.3.1. Actualizar a la versión 9.2.3.       Actualizar a la versión 9.1.6.
CVE-2024-45733		Desde la versión 9.2 hasta la 9.2.2.   Desde la versión 9.1 hasta la 9.1.5.	Actualizar a la versión 9.2.3. Actualizar a la versión 9.1.6.

Recomendaciones:

• Actualizar inmediatamente a las versiones parcheadas de Splunk Enterprise para evitar la explotación de estas vulnerabilidades críticas.

• Deshabilitar Splunk Web en los indexadores que no lo requieran y asegurarse de que no haya acceso innecesario desde usuarios con pocos privilegios.

• Revisar las configuraciones de almacenamiento de sesión y los permisos de archivos en entornos Windows para evitar que usuarios no autorizados accedan o modifiquen archivos críticos.

Referencias:

• https://advisory.splunk.com/advisories/SVD-2024-1003

• https://advisory.splunk.com/advisories/SVD-2024-1001
• https://www.cve.org/CVERecord?id=CVE-2024-45733
• https://www.cve.org/CVERecord?id=CVE-2024-45731

• https://nvd.nist.gov/vuln/detail/CVE-2024-45733

• https://cvefeed.io/vuln/detail/CVE-2024-45731