Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)安全风险通告

最新推荐文章于 2025-06-08 22:03:37 发布
转载 最新推荐文章于 2025-06-08 22:03:37 发布 · 2.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247515098&idx=1&sn=7b7050c4fa7d69ee3c61c18f54cbdfeb&chksm=ea948ab0dde303a63d8d84545dc9f8613de167d1120716524c2a2990810c3dc4e62d883ae136&scene=126&sessionid=0
文章标签:

#安全

本文报道了奇安信CERT关于SplunkEnterprise存在的高危远程代码执行漏洞,强调了漏洞原理、影响版本及安全建议,包括官方补丁和奇安信防护措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

bcab8871f37743f73953fa638e93aa2f.png

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。

安全通告

Splunk Enterprise是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及IT和业务智能。

近日,奇安信CERT监测到Splunk Enterprise中存在远程代码执行漏洞(CVE-2022-43571)。由于Splunk Enterprise 中 SimpleXML仪表板存在代码注入,经过身份验证的远程攻击者可构造特制的数据包,通过PDF导出操作触发任意代码执行。目前,此漏洞技术细节与POC已公开。鉴于此漏洞影响范围较大,建议客户尽快做好自查,及时更新至最新版本。

漏洞名称

Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)

公开时间

2022-11-03

更新时间

2022-12-22

CVE编号

CVE-2022-43571

其他编号

QVD-2022-43472

CNNVD-202211-1954

威胁类型

代码执行

技术类型

代码注入

厂商

Splunk

产品

Splunk Enterprise

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

未发现

未发现

已公开

漏洞描述

Splunk Enterprise中存在远程代码执行漏洞。由于Splunk Enterprise 中 SimpleXML仪表板存在代码注入,经过身份验证的远程攻击者可构造特制的数据包,通过PDF导出操作触发任意代码执行。

影响版本

Splunk Enterprise 8.1.x< 8.1.12

Splunk Enterprise 8.2.x< 8.2.9

Splunk Enterprise 9.0.x < 9.0.2

Splunk Cloud Platform < 9.0.2209

不受影响版本

Splunk Enterprise 8.1.x >= 8.1.12

Splunk Enterprise 8.2.x >= 8.2.9

Splunk Enterprise 9.0.x >= 9.0.2

Splunk Cloud Platform >= 9.0.2209

其他受影响组件

奇安信CERT已成功复现Splunk Enterprise远程代码执行漏洞(CVE-2022-43571),截图如下:

ce3e069cbee5db563920f97974fb1145.png

威胁评估

漏洞名称

Splunk Enterprise远程代码执行漏洞

CVE编号

CVE-2022-43571

其他编号

QVD-2022-43472

CNNVD-202211-1954

CVSS 3.1评级

高危

CVSS 3.1分数

8.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

低权限

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

Splunk Enterprise 中 SimpleXML仪表板存在代码注入,经过身份验证的远程攻击者可构造特制的数据包,通过PDF导出操作触发任意代码执行。

处置建议

目前Splunk官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。

https://www.splunk.com/en_us/product-security/announcements/svd-2022-1111.html

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)的防护。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.1222.13683或以上版本。规则ID及规则名称:0x10021416,Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7688,建议用户尽快升级检测规则库至2212221600以上。

参考资料

[1]https://www.splunk.com/en_us/product-security/announcements/svd-2022-1111.html

时间线

2022年12月22日,奇安信 CERT发布安全风险通告。

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

CVE-2024-36991:Splunk Enterprise任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
07-09 539
Splunk Enterprise 任意文件读取漏洞(CVE-2024-36991) 在互联网上公开,在特定版本的 Windows 版 Splunk Enterprise 中,未经身份认证的攻击者可以在 /modules/messaging/ 接口通过目录穿越的方式读取任意文件,造成用户信息的泄露。目前该漏洞技术细节与EXP已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
Splunk Enterprise for Windows 未授权任意文件读取漏洞复现(CVE-2024-36991)
0xSec
07-06 832
Splunk Enterprise for Windows 版本中,使用Python内置的 os.path.join 函数拼接路径时,若路径组件中的磁盘驱动器号与已构建路径中的驱动器号相同则会移除该驱动器号,导致 /modules/messaging/ 端点存在路径遍历漏洞,未授权的攻击者可利用该漏洞读取任意文件,使系统处于极不安全的状态。
Splunk Enterprise 存在任意代码执行漏洞
OSCS开源安全社区
12-23 1548
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。Splunk 受影响版本存在任意代码执行漏洞,经过身份验证的攻击者可利用此漏洞通过创建包含恶意代码的 SimpleXML 仪表板(dashboard),进而在操作仪表板生成 PDF 时远程执行恶意代码。Splunk 是一款机器数据的引擎,可用于收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。该漏洞已存在 POC。
Splunk Enterprise 中的严重漏洞允许远程执行代码
网络研究观
07-07 2040
这些更新解决了几个构成重大安全风险的关键漏洞,包括远程代码执行 (RCE) 的可能性。
若依4.6 SQL注入代码审计(CVE-2023-49371)
最新发布
m0_50125527的博客
06-08 483
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。
Splunk 修补关键漏洞,包括远程代码执行漏洞
weixin_51705943的博客
10-16 1136
领先的数据分析和安全监控平台 Splunk 发布了一系列安全更新,以解决 Splunk EnterpriseSplunk Cloud Platform 中的多个漏洞。这些漏洞的严重程度不一,有些可实现远程代码执行(RCE),有些则允许低权限用户访问敏感信息。
漏洞复现-Splunk Enterprise for Windows 未授权任意文件读取漏洞(CVE-2024-36991)
玄道的网安博客
08-13 553
受影响的 Splunk Enterprise for Windows 版本中,使用 Python 内置的 os.path.join 函数拼接路径时,若路径组件中的磁盘驱动器号与已构建路径中的驱动器号相同则会移除该驱动器号,导致 /modules/messaging/ 端点存在路径遍历漏洞,未授权的攻击者可利用该漏洞读取任意文件。是一个机器数据引擎,用于收集、索引和利用应用程序、服务器和设备生成的快速移动型计算机数据。将组件 splunk 升级至最新版本。
漏洞复现】Splunk Enterprise for Windows 任意文件读取漏洞 CVE-2024-36991
weixin_54799594的博客
07-12 1062
漏洞复现过程记录
CVE-2022-22954-VMware Workspace ONE Access SSTI远程代码执行流量特征
12306小哥
06-25 1233
仅用于技术交流和学习研究使用,请勿用于非法攻击,否则造成一切后果与本人无关VMware Workspace ONE Access and Identity Manager包含一个由于服务器端模板注入而导致的远程代码执行漏洞。VMware已将此问题的严重性评估为处于严重严重性范围内 ,CVSSv3基本得分最高为9.8。具有网络访问权限的恶意行为者可以触发可能导致远程代码执行的服务器端模板注入。 ...
Goby 漏洞发布|Splunk Enterprise XSLT 命令执行漏洞CVE-2023-46214)
m0_46699477的博客
11-26 631
Splunk Enterprise 是美国 Splunk 公司的一套数据收集分析软件。该软件主要用于收集、索引和分析及其所产生的数据,包括所有IT系统和基础结构(物理、虚拟机和云)生成的数据。Splunk Enterprise 存在命令执行漏洞,该漏洞源于不会安全地清理用户提供的可扩展样式表语言转换 (XSLT),攻击者利用该漏洞可以上传恶意 XSLT,从而在 Splunk Enterprise 实例上远程执行命令。
漏洞复现-splunk-信息泄露】vulfocus/splunk-cve_2018_11409
10-15 2775
splunk-信息泄露】
Splunk 修复企业产品中的多个高危漏洞
smellycat000的专栏
07-03 250
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周一,Splunk 宣布修复 Splunk Enterprise 和 Cloud Platform 上的16个漏洞,其中包括6个高危漏洞。其中3个是高危的远程代码执行漏洞,需要认证才能成功利用。第1个漏洞CVE-2024-36985,可被低权限用户通过可能引用 “splunk_archiver” 应用的查询利用。该漏洞影响 Splunk En...
splunk-信息泄露(cve_2018_11409)
m0_65150886的博客
01-02 972
7.0.1及之前版本中存在安全漏洞。攻击者可通过将__raw/services/server/info/server-info?output_mode=json添加到查询中利用该漏洞泄露信息。设置 -----> 添加数据。3.选择默认的最下面一项。1.访问ip:port。2.登陆后,修改密码。
漏洞复现】Splunk Enterprise——messaging——任意文件读取
LongL_GuYu的博客
07-13 505
Splunk Enterprise是一款功能强大的数据分析引擎,旨在从所有IT系统和基础设施数据中提供数据搜索、报表和可视化展现。其`messaging`接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件。
漏洞复现】Splunk Enterprise 任意文件读取漏洞(CVE-2024-36991)
今天是几号的博客
07-08 1454
Splunk Enterprise 是一款强大的机器数据管理和分析平台,能够实时收集、索引、搜索、分析和可视化来自各种数据源的日志和数据,帮助企业提升运营效率、增强安全性和优化业务决策。漏洞名称Splunk Enterprise 任意文件读取漏洞漏洞编号公开时间2024-07-01威胁类型信息泄漏。
将Burp Scanner漏洞结果转换为Splunk事件
weixin_33895604的博客
09-14 166
本文讲的是将Burp Scanner漏洞结果转换为Splunk事件, 介绍 Splunk是一个功能齐全,功能强大的平台,用于收集,搜索,监控和分析机器数据。它被安全运营中心(SOC)团队广泛使用,提供高级安全事件监控,威胁分析,事件响应和网络威胁管理。 Burp Suite是世界各地安全分析人员使用的必备Web应用程序攻击代理工具,用于对Web应用程序...
复现 Splunk 框架中的账户异常登录检测案例
qq798280904的博客
03-26 509
海外老牌的数据平台,数据收集、管理、分析、自动化、检测、响应、编排,主要面向安全业务。在 2022 年 Gartner® 安全信息和事件管理 (SIEM) 魔力象限™ 中,Splunk 连续第九年被评为“领导者”。Gartner® 将 SIEM 市场定义为支持用例,包括威胁检测、合规性、实时遥测、事件分析和事件调查全球成千上万的组织依靠 Splunk 作为其 SIEM 来获取数据驱动的见解,从而保护他们的业务并降低风险。
Splunk Remote Root Exploit
cnbird's blog
12-21 2400
http://www.exploit-db.com/exploits/18245/ from sec1httplib.requestbuilder import Requestobj from sec1httplib.thread_dispatcher import * import thr
Google Chrome 任意文件读取 (CVE-2023-4357)漏洞复现
huangyongkang666的博客
11-18 5321
Google Chrome 任意文件读取漏洞(CVE-2023-4357)
分析CVE-2022-37445特征,建立CVE-2022-37445专属分析规则
03-01
<think>好的,我现在需要帮用户分析CVE-2022-37445的特征,并建立专属分析规则。首先,我得确认这个CVE的具体信息。用户之前提到过CVE-2022-38745不存在,并建议了可能的正确编号,比如CVE-2022-37445,所以现在用户可能已经确认了正确的编号,转而需要针对这个漏洞的规则。 先回顾一下,CVE-2022-37445是OpenSSL的缓冲区溢出漏洞,影响版本3.0.0到3.0.5,属于高危漏洞。攻击者可以通过触发缓冲区溢出导致拒绝服务或远程代码执行。接下来,我需要分析这个漏洞的具体触发条件和攻击特征,这样才能制定检测规则。 首先,漏洞的技术细节。根据公开资料,这个漏洞是由于X.509证书验证时的缓冲区溢出问题。当解析恶意构造的电子邮件地址时,如果地址超过4K字节,可能导致堆溢出。攻击者可能会构造超长的emailAddress字段的证书,在客户端或服务器验证时触发漏洞。 所以,攻击特征可能包括:异常的X.509证书,特别是emailAddress字段长度超过4096字节;相关的错误日志,如OpenSSL进程崩溃记录;或者网络流量中存在包含此类证书的TLS握手。 接下来,建立分析规则需要考虑不同的层面:网络流量检测、日志分析和主机行为监控。针对网络流量,可以使用Snort或Suricata规则来检测TLS证书中的超长emailAddress字段。日志方面,需要监控OpenSSL相关的错误日志,比如堆损坏或缓冲区溢出信息。主机层面,可以检测进程崩溃或异常内存使用。 需要注意的是,规则的有效性可能会受到加密流量的限制,因为TLS流量通常是加密的,除非有中间解密设备。此外,误报的可能性需要考虑,比如正常的长email地址,但超过4K的情况非常罕见,所以设置长度阈值可能在4096以上比较合理。 另外,还要考虑漏洞的利用场景,比如攻击者可能通过恶意服务器在客户端验证证书时触发,或者客户端向服务器发送恶意证书。因此,检测规则需要双向监控。 最后,规则的优化和测试,确保其准确性和性能影响。可能需要调整规则以避免误报,并确保在高流量环境下不会对系统造成过大负担。</think>以下针对 **CVE-2022-37445**(OpenSSL 缓冲区溢出漏洞)的技术特征分析与规则构建方案: --- ### **漏洞概要** - **CVE编号**:CVE-2022-37445 - **影响范围**:OpenSSL 3.0.0 至 3.0.5 - **漏洞类型**:堆缓冲区溢出(高危,CVSS 9.8) - **触发条件**:解析恶意构造的X.509证书时,`emailAddress`字段长度超过 **4K字节**导致溢出 - **攻击效果**:拒绝服务(DoS)或远程代码执行(RCE) --- ### **核心特征提取** #### 1. **恶意证书特征** - **关键字段**:`emailAddress`属性 - **长度异常**:超过 **4096字节**(含填充字符或重复结构) - **编码模式**:使用ASN.1编码构造超长字符串(如`PrintableString`或`UTF8String`类型) #### 2. **网络流量特征** - **协议上下文**:TLS握手过程中客户端/服务端证书交换阶段 - **异常载荷**:单个证书的DER编码长度显著高于常规证书(需基线对比) #### 3. **系统行为特征** - **进程崩溃**:OpenSSL相关进程(如`httpd`, `nginx`)异常退出 - **内存日志**:系统日志中记录 `OPENSSL_assert()` 失败或堆损坏警告(如`free(): invalid pointer`) --- ### **专属检测规则构建** #### **方案一:网络层规则(Suricata/Snort)** ```bash # 检测TLS证书中包含超长emailAddress字段的请求 alert tls $EXTERNAL_NET any -> $HOME_NET any ( msg:"CVE-2022-37445 Exploit Attempt - Overlong emailAddress in X.509 Cert"; flow:established,to_server; tls.handshake.type 11; # Certificate message content:"|04|emailAddress"; # OID for emailAddress (2.5.4.3) content:"|82 10|"; # 长格式标签(长度超过4096时编码为0x82+双字节长度) depth 10; threshold:type both, track by_src, count 1, seconds 60; reference:cve,2022-37445; classtype:attempted-admin; sid:20220745; ) ``` **规则逻辑**: - 匹配TLS证书消息中`emailAddress`字段的OID标识符(`0x04082A864886F70D010901`) - 检测ASN.1编码中表示超长字段的标签(如`0x82`表示后续双字节长度) - 结合证书总长度阈值(需根据实际环境调整) --- #### **方案二:日志监控规则(ELK/Splunk)** ```sql # 筛选OpenSSL进程崩溃或内存错误日志 source="/var/log/messages" ("OPENSSL_assert" AND "buffer overflow") OR ("openssl" AND ("segfault" OR "SIGABRT")) | stats count by src_ip, user_agent ``` **优化项**: - 关联证书解析时间点前后的网络连接日志 - 匹配客户端IP的异常证书提交行为(如短时间内多次提交不同证书) --- #### **方案三:主机行为规则(YARA)** ```python # 检测恶意证书文件中的超长emailAddress字段 rule CVE_2022_37445_Exploit_Cert { meta: description = "Detect X.509 cert with emailAddress >4KB" cve = "2022-37445" strings: $oid = { 04 08 2A 86 48 86 F7 0D 01 09 01 } // emailAddress OID $len_header = { 82 1? ?? } // 长度超过0x1000(4096)的ASN.1编码 condition: $oid in (0..100) and $len_header in (0..200) } ``` --- ### **防御建议** 1. **紧急修复**:升级至OpenSSL 3.0.6+,并重新编译依赖组件 2. **流量拦截**:在WAF或负载均衡器上拦截含超长字段的证书请求 3. **深度检测**:对加密流量实施SSL/TLS解密后执行规则匹配(需合规) 如需进一步定制规则或验证误报率,请提供实际环境中的 **网络流量样本** 或 **日志片段**。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值