Исправлена критическая уязвимость удаленного выполнения кода в Splunk Enterprise

Предоставляя возможности мониторинга и поиска больших данных, Splunk использует серверы развертывания Splunk Enterprise для отправки конфигураций и обновлений содержимого на различные экземпляры Enterprise, включая форвардеры, индексаторы и поисковые головки Splunk.

Отслеживаемая как CVE-2022-32158 (имеет оценку 9,0 по шкале CVSS), новая критическая уязвимость существует потому, что серверы развертывания Splunk Enterprise до версии 9.0 позволяют клиентам использовать сервер для внедрения установочных пакетов форвардеров другим клиентам. Уязвимость позволяет злоумышленнику скомпрометировать конечную точку Universal Forwarder, а затем использовать ее для выполнения произвольного кода на других конечных точках, подключенных к серверу развертывания.

Еще была исправлена CVE-2022-32157, появившаяся из-за того, что серверы развертывания в версиях до 9.0 позволяют загружать пакеты форвардеров без аутентификации

Splunk также исправила несколько уязвимостей проверки сертификатов TLS, использование которых может привести к MitM-атакам.

Все вышеперечисленные уязвимости легко устраняются обновлением до версии Splunk Enterprise 9.0 или выше. Для устранения CVE-2022-32157 нужно будет дополнительно настроить аутентификацию для серверов развертывания и клиентов.