Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)安全风险通告

最新推荐文章于 2023-12-15 14:48:57 发布
最新推荐文章于 2023-12-15 14:48:57 发布
阅读量1.6k 收藏
点赞数
文章标签: 安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247515098&idx=1&sn=7b7050c4fa7d69ee3c61c18f54cbdfeb&chksm=ea948ab0dde303a63d8d84545dc9f8613de167d1120716524c2a2990810c3dc4e62d883ae136&scene=126&sessionid=0
版权

bcab8871f37743f73953fa638e93aa2f.png

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。

安全通告

Splunk Enterprise是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及IT和业务智能。

近日,奇安信CERT监测到Splunk Enterprise中存在远程代码执行漏洞(CVE-2022-43571)。由于Splunk Enterprise 中 SimpleXML仪表板存在代码注入,经过身份验证的远程攻击者可构造特制的数据包,通过PDF导出操作触发任意代码执行。目前,此漏洞技术细节与POC已公开。鉴于此漏洞影响范围较大,建议客户尽快做好自查,及时更新至最新版本。

漏洞名称

Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)

公开时间

2022-11-03

更新时间

2022-12-22

CVE编号

CVE-2022-43571

其他编号

QVD-2022-43472

CNNVD-202211-1954

威胁类型

代码执行

技术类型

代码注入

厂商

Splunk

产品

Splunk Enterprise

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

未发现

未发现

已公开

漏洞描述

Splunk Enterprise中存在远程代码执行漏洞。由于Splunk Enterprise 中 SimpleXML仪表板存在代码注入,经过身份验证的远程攻击者可构造特制的数据包,通过PDF导出操作触发任意代码执行。

影响版本

Splunk Enterprise 8.1.x< 8.1.12

Splunk Enterprise 8.2.x< 8.2.9

Splunk Enterprise 9.0.x < 9.0.2

Splunk Cloud Platform < 9.0.2209

不受影响版本

Splunk Enterprise 8.1.x >= 8.1.12

Splunk Enterprise 8.2.x >= 8.2.9

Splunk Enterprise 9.0.x >= 9.0.2

Splunk Cloud Platform >= 9.0.2209

其他受影响组件

奇安信CERT已成功复现Splunk Enterprise远程代码执行漏洞(CVE-2022-43571),截图如下:

ce3e069cbee5db563920f97974fb1145.png

威胁评估

漏洞名称

Splunk Enterprise远程代码执行漏洞

CVE编号

CVE-2022-43571

其他编号

QVD-2022-43472

CNNVD-202211-1954

CVSS 3.1评级

高危

CVSS 3.1分数

8.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

低权限

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

Splunk Enterprise 中 SimpleXML仪表板存在代码注入,经过身份验证的远程攻击者可构造特制的数据包,通过PDF导出操作触发任意代码执行。

处置建议

目前Splunk官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。

https://www.splunk.com/en_us/product-security/announcements/svd-2022-1111.html

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)的防护。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.1222.13683或以上版本。规则ID及规则名称:0x10021416,Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7688,建议用户尽快升级检测规则库至2212221600以上。

参考资料

[1]https://www.splunk.com/en_us/product-security/announcements/svd-2022-1111.html

时间线

2022年12月22日,奇安信 CERT发布安全风险通告。

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Splunk-7.3.0-SearchReference_zh-CN.pdf
09-10
Splunk® Enterprise 7.3.0 搜索参考 欢迎使⽤搜索参考 本⼿册是 “ 搜索处理语⾔ ”(SPL) 的参考指导。在此⼿册中,您将找到带有完整语法、描述和⽰例的搜索命令⽬录。此 外,本⼿册还包含有关命令类别的快速参考信息、可与命令⼀起使⽤的函数,以及 SPL 与 SQL 之间的关系。
splunk最新版windows安装包,splunk-8.2.3.2-5281ae34c90c-x64-release.msi
01-06
splunk最新版windows安装包,下载后,一直点击下一步即可安装成功!
Splunk-Defensive-Analysis:具有三个相关CVESplunk软件报告
05-04
Splunk-防守分析 关于通过进行数据管理的科学论文,其中包括三个相关的CVE漏洞分析,旨在强调Splunk的可靠性。 该项目是作为意大利卡塔尼亚大学的互联网安全关系进行的。 请阅读文档(意大利语) CVE详细信息 此报告处理以下CVE漏洞: Javascript盗窃信息 Mappy.py SAML响应 联络人 电子邮件: 领英:linkedin.com/in/marioraciti Twitter:twitter.com/tsumarios
splunk 数据导入操作手册 Splunk-8.2.0-Data-zh-CN
05-31
splunk 数据导入操作手册 Splunk-8.2.0-Data_zh-CN
网络靶场实战-RouterOS漏洞分析(CVE-2022-45315)
蛇矛实验室
12-24 3215
这一小节,我们简单了解了MikroTik routerOS的消息传递机制,以及学习了越界访问漏洞的原理。
Google Chrome 任意文件读取 (CVE-2023-4357)漏洞复现
huangyongkang666的博客
11-18 3364
Google Chrome 任意文件读取漏洞(CVE-2023-4357)
谷歌浏览器任意文件访问漏洞CVE-2023-4357)复现
fly夏天的博客
11-21 1053
谷歌浏览器任意文件访问漏洞CVE-2023-4357)复现
CVE-2023-49371 RuoYi 若依后台管理系统存在SQL注入漏洞
qq_27536045的博客
12-14 1476
CVE-2023-49371|RuoYi 若依后台管理系统存在SQL注入漏洞漏洞复现)
CVE-2023-4357】Chrome-XXE 任意文件读取漏洞复现及原理解析
新青年1号
11-20 1638
使用默认的沙盒,攻击者可以在 ios(safari/chrome),mac(safari/chrome),android(chrome)和 samsung tv(默认浏览器) 上读取 /etc/hosts 文件,当使用 -no-sandbox 属性时,攻击者可以读取操作系统上的任意文件。关系类似于 JSP 和 Java 的关系(不太准确,但比较容易理解),XLS 实际上就是在 XML 的基础上增加了一些扩展的语法,从而可以将 XML 中的数据转换为 HTML 呈现。这里写成 XML 格式也是完全可以的。
Splunk Enterprise 存在任意代码执行漏洞
OSCS开源安全社区
12-23 1380
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。Splunk 受影响版本存在任意代码执行漏洞,经过身份验证的攻击者可利用此漏洞通过创建包含恶意代码的 SimpleXML 仪表板(dashboard),进而在操作仪表板生成 PDF 时远程执行恶意代码Splunk 是一款机器数据的引擎,可用于收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。该漏洞已存在 POC。
splunk-9.1.0.2
08-15
Splunk Enterprise 是一款软件产品,可让您搜索、分析和可视化从 IT 基础架构或业务的组件收集的数据。Splunk Enterprise 从网站、应用程序、传感器、设备等接收数据。定义数据源后,Splunk Enterprise 会索引数据流...
Apache Tomcat 存在 JsonErrorReportValve 注入漏洞CVE-2022-45143)
murphysec的博客
01-05 5959
在Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞,由于未对InterpreterSettingManager类remove方法中id参数进行正确校验,攻击者可通过构造包含…/的参数实现路径穿越,利用漏洞删除zeppelin相关或其他任意文件。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。
CVE-2023-49371|RuoYi 若依后台管理系统存在SQL注入漏洞
最新发布
yggcwhat
12-15 416
CVE-2023-49371|RuoYi 若依后台管理系统存在SQL注入漏洞
刚刚微软的3月安全更新中,这几个安全漏洞值得注意
u010291330的博客
03-26 399
安全厂商将这四个更新补丁列为CVE-2022-43552,CVE-2022-23257,CVE-2022-23825,以及CVE-2022-23816。近日,安全专家建议IT团队应优先修补两个零日漏洞,一个是微软Outlook的认证机制,另一个是web标记的绕过。其中一个零日是微软Outlook中的一个关键的权限升级漏洞,被追踪为CVE-2023-23397,它允许攻击者访问受害者的Net-NTLMv2挑战-回应认证哈希,然后冒充用户。
Google Chrome 任意文件读取 (CVE-2023-4357)漏洞
weixin_62693307的博客
11-20 1002
中用户提供的 XML 输入验证不足。远程攻击者可以创建特制网页,诱骗受害者访问该网页并获取用户系统上的敏感信息。远程攻击者可利用该漏洞通过构建的 HTML 页面绕过文件访问限制,导致chrome任意文件读取。Libxslt 是在基于 WebKit 的浏览器(如 chrome,safari 等)中默认使用的 XSL 库。Libxslt 允许 XSL document() 方法加载的文档内部存在外部实体。攻击者可以绕过安全限制,从 http(s):// 网址访问 file:// 网址并获取文件访问权限。
漏洞复现-splunk-信息泄露】vulfocus/splunk-cve_2018_11409
10-15 2075
splunk-信息泄露】
Error系列-CVE CIS-2023系统漏洞处理方案集合
tangdou369098655的博客
06-06 5709
网络安全-CVE - CIS 漏洞分析以及解决
Goby 漏洞发布|Splunk Enterprise XSLT 命令执行漏洞CVE-2023-46214)
m0_46699477的博客
11-26 354
Splunk Enterprise 是美国 Splunk 公司的一套数据收集分析软件。该软件主要用于收集、索引和分析及其所产生的数据,包括所有IT系统和基础结构(物理、虚拟机和云)生成的数据。Splunk Enterprise 存在命令执行漏洞,该漏洞源于不会安全地清理用户提供的可扩展样式表语言转换 (XSLT),攻击者利用该漏洞可以上传恶意 XSLT,从而在 Splunk Enterprise 实例上远程执行命令。
Splunk 修复 Enterprise 和 IT Service Intelligence 中的多个高危漏洞
smellycat000的专栏
09-01 222
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周三,Splunk 修复了位于 Splunk Enterprise 和 IT Service Intelligence 中的多个高危漏洞,其中包括位于第三方包中的多个漏洞。其中最严重的漏洞CVE-2023-40595(CVSS评分8.8),位于 Splunk Enterprise 中,是可通过构造查询利用的远程代码执行漏洞Splunk 在...
splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz
09-21
splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz是一个Splunk软件的安装包,适用于64位的Linux操作系统。Splunk是一种实时数据分析和监控平台,被广泛用于处理和分析大型数据集。 Splunk使用一种称为索引的机制来存储和检索数据。它能够处理各种类型的数据,包括文本、日志、图片等。通过将数据索引,Splunk可以快速搜索和可视化数据,帮助用户发现隐藏在数据中的有价值的信息。 安装Splunk的第一步是下载安装包,这里的splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz就是Splunk的安装文件。".tgz"表示这是一个tar压缩文件,需要使用tar命令解压缩。 安装Splunk之前,我们首先要确保操作系统是64位的Linux。下载后,我们可以使用以下命令解压缩该文件: tar -zxvf splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz 解压缩后,会得到一个splunk文件夹,里面包含Splunk的所有文件。然后,我们可以运行Splunk的安装脚本来启动安装过程。 Splunk提供了一个图形化的安装向导,可以帮助用户完成安装步骤。在安装过程中,需要选择安装目录、许可证文件等配置选项。 安装完成后,我们可以使用以下命令启动Splunk: ./splunk start 然后,我们可以通过浏览器访问Splunk的Web界面,并使用相关的管理员用户名和密码登录。 总结来说,splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz是Splunk软件的安装包,用户可以通过解压缩、运行安装脚本等步骤来安装和启动Splunk,并使用该软件进行数据分析和监控。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值