Splunk企業版權限控管失誤,將暴露系統資訊
- 發布單位:TWCERT/CC
- 更新日期:2019-04-02
- 點閱次數:888
CVE編號
內文
●概述:
營運決策支援系統Splunk® Enterprise,能蒐集IT建設、安全系統、商務程式各類log格式,產生分析報表,經測試REST終端存在權限控管破綻,遠端駭客於URL直接對設備IP之port 8000,附加__raw/services/server/info/server-info?output_mode=json之請求,竟可獲得設備OS、硬體、Splunk license key等資訊,所幸核心商務資料無外洩之虞,Splunk已升級版本修補瑕疵,並建議REST endpoint需要搭配適合的叢集裝置始得避免風險。
●編註:
(1)Splunk企業版REST終端漏洞探勘實務
囿於程式對使用者存取權限制不當,Splunk之web介面網址列,附掛特定查詢request,可暴露系統資訊,範例如下:
https://100.100.100.100:8000/en-US/splunkd/__raw/services/server/info/server-info?output_mode=json
遠端攻擊者直接對Splunk REST endpoint設備IP(port 8000)發送request,可探勘search heads、heavy forwarders、universal forwarders、indexers等四類元件弱點,任意接觸其OS、硬體、Splunk license key相關訊息,儘管攻擊各版本洩密後果一致,但版本新舊仍影響入侵難度,若Splunk Enterprise 6.2.3~6.5.x系列受探勘時無須身分認證,而Splunk Enterprise 6.6.0~7.0.1版則僅限Splunk用登入後始得竊資。
(2)風險評估
Splunk產品遍及110個國家,波及範圍約13000名企業客戶,架設Splunk企業版目的即是分析巨量資料,然該漏洞並未造成核心商務資料外洩,而是作業系統及硬體等平台屬性,危害度較小,且REST終端IP不應隨意至於公開網路環境,必然受企業級安防設備隔離保護,直接遭遇惡意請求挖掘資訊之風險偏低。
影響產品
解決辦法
相關連結
- https://www.splunk.com/view/SP-CAAAP5E#announce1
- https://securitytracker.com/id/1041148
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11409
- https://www.exploit-db.com/exploits/44865/
- https://github.com/kofa2002/splunk
- https://www.splunk.com/zh-hant_cn
- https://www.splunk.com/zh-hant_cn/products/splunk-enterprise.html
- https://www.splunk.com/content/dam/splunk2/images/social/homepage.jpg