CVE-2024-36991 - Lỗ hổng nghiêm trọng trên Splunk có thể bị khai thác để đọc tất cả file trên hệ thống

CVE-2024-36991 - Lỗ hổng nghiêm trọng trên Splunk có thể bị khai thác để đọc tất cả file trên hệ thống

Các nhà nghiên cứu bảo mật đã đưa ra cảnh báo về một lỗ hổng Splunk Enterprise có thể cho phép kẻ tấn công đọc mọi file trên hệ thống. Lỗ hổng nghiêm trọng hơn so với lúc ban đầu nó xuất hiện và có thể bị khai thác bằng một GET request đơn giản.

1. Chi tiết lỗ hổng

  • Định danh lỗ hổng: CVE-2024-36991

  • Mức độ nghiêm trọng: High

  • Điểm CVSS: 7.5

  • Mô tả chung: Kẻ tấn công có thể lợi dụng lỗ hổng này để thực hiện path traversal trong Splunk Enterprise trên Windows.

  • Phiên bản bị ảnh hưởng: Splunk Enterprise trên Windows phiên bản dưới 9.2.2, 9.1.59.0.10, và Web Splunk component phải được bật.

2. Phân tích kĩ thuật

Hàm os.path.join() trên Python có công dụng nhận nhiều thành phần đường dẫn làm tham số và nối chúng thành một đường dẫn duy nhất, sử dụng dấu phân cách đường dẫn đúng theo hệ điều hành.

Theo tài liệu của Python về hàm os.path.join(), khi gặp một đoạn đường dẫn có ổ đĩa khác hoặc là đường dẫn tuyệt đối, các đoạn đường dẫn trước đó sẽ bị bỏ qua và ổ đĩa sẽ được đặt lại.

Lỗ hổng CVE-2024-36991 lợi dụng hàm os.path.join(), cho phép kẻ tấn công thực hiện liệt kê danh sách thư mục trên Splunk endpoint, từ đó có thể cho phép kẻ tấn công truy cập trái phép vào các tập tin nhạy cảm trên hệ thống.

Lỗ hổng này chỉ ảnh hưởng đến các phiên bản Splunk Enterprise có Splunk Web được kích hoạt. Chỉ với một yêu cầu GET được tạo đặc biệt có thể dẫn đến việc đọc tập tin bất kỳ trên endpoint đó mà không cần xác thực.

3. Mức độ ảnh hưởng

Rủi ro chính liên quan đến lỗ hổng này là truy cập trái phép vào dữ liệu nhạy cảm. Bằng cách khai thác lỗ hổng, kẻ tấn công có thể đọc bất kỳ tệp nào trên hệ thống, dẫn đến khả năng làm lộ thông tin bí mật như dữ liệu người dùng, cấu hình hệ thống và thông tin tài khoản.

4. Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức một số cách để giảm thiểu rủi ro:

  • Cập nhật bản vá: Cập nhật các bản vá Splunk Enterprise mới nhất.

  • Tắt tạm thời chức năng Splunk Web: Nếu không thể cập nhật bản vá luôn, quản trị viên có thể tạm thời tắt chức năng Splunk Web.

  • Vô hiệu hóa các chức năng không cần thiết: có thể vô hiệu hóa các chức năng không cần thiết trong file cấu hình web.conf trên Splunk Enterprise.

  • Giám sát hệ thống: Giám sát hệ thống để phát hiện bất kỳ hoạt động bất thường nào có thể cho thấy hành vi cố gắng khai thác lỗ hổng này.

5. Tham khảo

  1. CVE-2024-36991 Detail:

    https://nvd.nist.gov/vuln/detail/CVE-2024-36991

  2. Critical Splunk Vulnerability CVE-2024-36991: Patch Now to Prevent Arbitrary File Reads:

    https://blog.sonicwall.com/en-us/2024/07/critical-splunk-vulnerability-cve-2024-36991-patch-now-to-prevent-arbitrary-file-reads/