●概述：
營運決策支援系統Splunk® Enterprise，能蒐集IT建設、安全系統、商務程式各類log格式，產生分析報表，經測試REST終端存在權限控管破綻，遠端駭客於URL直接對設備IP之port 8000，附加__raw/services/server/info/server-info?output_mode=json之請求，竟可獲得設備OS、硬體、Splunk license key等資訊，所幸核心商務資料無外洩之虞，Splunk已升級版本修補瑕疵，並建議REST endpoint需要搭配適合的叢集裝置始得避免風險。
●編註：
(1)Splunk企業版REST終端漏洞探勘實務
囿於程式對使用者存取權限制不當，Splunk之web介面網址列，附掛特定查詢request，可暴露系統資訊，範例如下：
https://100.100.100.100:8000/en-US/splunkd/__raw/services/server/info/server-info?output_mode=json
遠端攻擊者直接對Splunk REST endpoint設備IP(port 8000)發送request，可探勘search heads、heavy forwarders、universal forwarders、indexers等四類元件弱點，任意接觸其OS、硬體、Splunk license key相關訊息，儘管攻擊各版本洩密後果一致，但版本新舊仍影響入侵難度，若Splunk Enterprise 6.2.3~6.5.x系列受探勘時無須身分認證，而Splunk Enterprise 6.6.0~7.0.1版則僅限Splunk用登入後始得竊資。

(2)風險評估
Splunk產品遍及110個國家，波及範圍約13000名企業客戶，架設Splunk企業版目的即是分析巨量資料，然該漏洞並未造成核心商務資料外洩，而是作業系統及硬體等平台屬性，危害度較小，且REST終端IP不應隨意至於公開網路環境，必然受企業級安防設備隔離保護，直接遭遇惡意請求挖掘資訊之風險偏低。