据 SonicWall 的威胁研究人员称,最近修复的一个漏洞 (CVE-2024-36991) 影响了 Windows 上的 Splunk Enterprise,“比最初看起来更严重”。已经发布了几个 PoC 漏洞,包括 IT 顾问 Mohamed Nabil Ali 的一个漏洞,该漏洞对易受攻击的面向 Internet 的端点执行批量扫描并尝试读取 /etc/passwd 文件。关于 CVE-2024-36991Splunk Enterprise 是一个数据分析和监控平台,允许组织从各种来源收集和分析机器生成的数据,例如网络和安全设备、服务器等。CVE-2024-36991 由 Danylo Dmytriiev 发现,是该平台用户界面 Splunk Web 中的一个路径遍历漏洞,允许攻击者遍历文件系统以访问受限目录 (/modules/messaging/) 之外的文件或目录。“该漏洞的存在是因为Python os.path.join函数,如果令牌中的驱动器与构建路径中的驱动器匹配,则该函数会从路径令牌中删除驱动器号,”SonicWall的研究人员解释说。它可以通过特制的 GET 请求加以利用,并允许攻击者在 Splunk 端点上执行目录列表。成功利用此漏洞不需要事先进行身份验证。“攻击者只需要能够远程访问实例,这可能是通过互联网或本地网络,”他们补充说。降低利用风险CVE-2024-36991 影响低于 9.2.2、9.1.5 和 9.0.10 的 Splunk Enterprise 版本,但仅在 Windows 上,并且仅在 Splunk Web 组件打开时。“尽管Splunk主要以开发环境而闻名,但根据Fofa的说法,多达230k台暴露的服务器正在运行Splunk,”威胁研究人员指出,并建议管理员立即实施补丁。禁用 Splunk Web 还可以消除被利用的风险,但最好升级到固定版本。Splunk 的威胁研究团队提供了一个搜索查询,用于检测针对 /modules/messaging 端点的利用尝试。
