Vulnerabilidad alta solucionada en Splunk SOAR

El producto Splunk SOAR ofrece la capacidad de orquestar la infraestructura de seguridad, administrar casos, automatizar procesos mediante un sistema de “playbooks” y cuenta con inteligencia de amenazas incorporada. La solución tiene la capacidad de recopilar eventos de seguridad provenientes de diversas fuentes, permitiendo así realizar el seguimiento, análisis y clasificación de los eventos, además de automatizar las respuestas mediante una interfaz intuitiva.

Recientemente, este producto se ha visto vulnerable a un ataque que compromete la seguridad del mismo y a los usuarios.

Detalle de vulnerabilidades

• CVE-2023-3997 → Puntaje base CVSS: 8.6 (alta)

Esta vulnerabilidad podría permitir la inyección de códigos de escape ANSI en los archivos de registro de Splunk puede llevar a la ejecución de código malicioso en aplicaciones vulnerables cuando un usuario de Splunk SOAR utiliza una aplicación de terminal que admite la traducción de estos códigos.

Es importante señalar que esta vulnerabilidad no afecta directamente a Splunk SOAR, sino que su impacto es indirecto y depende de los permisos concedidos en la aplicación de terminal del usuario. Por ejemplo, si el usuario copia inadvertidamente el archivo malicioso desde el software y lo lee en su máquina local utilizando una aplicación de terminal vulnerable, podría poner en riesgo su máquina local.

Versiones afectadas

• Splunk SOAR (On-premises) 6.0.1 y anteriores.

• Splunk SOAR (Cloud) 6.0.1.123902 y anteriores.

Solución

Actualizar a las versiones que corrigen la vulnerabilidad:

• Splunk SOAR (On-premises) en su versión 6.1.0

• Splunk SOAR (Cloud) en su versión 6.1.0.131 (No es necesario tomar ninguna acción ya que Splunk está aplicando parches y monitoreando de forma activa las instancias de este producto).

Recomendación

Si no le es factible actualizar a la versión más reciente de Splunk SOAR, le recomendamos deshabilitar la capacidad de procesar códigos de escape ANSI en las aplicaciones de terminal o utilice una aplicación de terminal que permita el filtrado de estos códigos ANSI.

Implementando estas medidas, se puede disminuir el riesgo asociado a la vulnerabilidad hasta que la actualización sea posible.

Referencias

Para mayor información sobre la vulnerabilidad descrita, consultar los siguiente enlaces:

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3997

• https://advisory.splunk.com/advisories/SVD-2023-0702

• https://www.cve.org/CVERecord?id=CVE-2023-3997

• https://www.ramanean.com/tag/cve-2023-3997/

• https://www.opencve.io/cve/CVE-2023-3997