آسیب‌پذیری اجرای کد از راه دور در Splunk

یک آسیب‌پذیری اجرای کد از راه دور (RCE)  با شدت بالا به شناسه CVE-2023-46214، در Splunk Enterprise یافت شده است که نفوذگر را قادر به بارگذاری فایل‌های مخرب می‌سازد.

این آسیب‌پذیری اساساً نسخه‌های Splunk Enterprise کمتر از 9.0.7 و 9.1.2 را تحت تاثیر قرار می‌دهد و باعث می‌شود به درستی، تغییر شکل‌ها یا تبدیل‌های زبان شیوه‌‌نامه توسعه‌پذیر یا  extended stylesheet language transformations (XSLT) ارائه‌شده توسط کاربر، پاک‌سازی نشود. این بدان معناست که XSLT مخرب می‌تواند توسط نفوذگر بارگذاری شود که ممکن است منجر به اجرای کد از راه دور در نمونه Splunk Enterprise شود.

جزئیات نقص RCE در Splunk

آسیب‌پذیری نام‌ برده شده که با شدت بالا طبقه‌بندی و تحت شناسه CVE-2023-46214 ردیابی می‌شود، امتیاز 8.0 CVSSv3.1 را به خود اختصاص داده است. طبق آنچه که در توصیه Splunk آورده شده است: «در نسخه‌های Splunk Enterprise زیر 9.0.7 و 9.1.2، Splunk Enterprise به‌ طور ایمن تبدیل‌های زبان شیوه‌نامه توسعه‌یافته (XSLT) را که کاربران ارائه می‌کنند، تایید اعتبار (sanitize) نمی‌کند».

در این نوع آسیب‌پذیری، حمله را می‌توان از راه دور آغاز کرد و تغییر (modification) منجر به تزریق XML می‌شود. از آنجا که محصول به طور مناسب عناصر خاص XML را خنثی نمی‌کند، نفوذگران ممکن است فرمان‌ها، محتوا یا (syntax) نحو XML را پیش از پردازش سیستم نهایی آن، تغییر دهند.

به گفته محققی که فرآیند شناسایی آسیب‌پذیری را با استفاده از POC کامل و توضیحات CVE تشریح می‌کند، جهت دستیابی به اجرای کد از راه دور مراحل زیر صورت گرفته است:

• ایجاد فایل XSL معتبر
•  الزامات (نیازمندی‌های) تعیین شده به منظور رسیدن به کد آسیب‌پذیری
• شناسایی نقطه پایانی آسیب پذیر
• محل بارگذاری فایل قابل پیش بینی
• دانستن اینکه اسکریپت کجا نوشته شود
• اجرای اسکریپت

📌 گفتنی است که کد POC این آسیب‌پذیری هم اکنون منتشر شده است.

محصولات تحت تاثیر

توصیه امنیتی

✅ به کاربران توصیه شده است که محصول  Splunk Enterprise را به نسخه 9.0.7 یا 9.1.2 و محصول Splunk Cloud را به نسخه 9.1.2308 به‌ روزرسانی کنند.