El fabricante Splunk tiene que llenar muchos vacíos con parches de seguridad en sus actualizaciones planificadas de 3 meses. De las 12 actualizaciones enumeradas, Splunk 9 se califica a sí mismo como Altamente Peligroso. Además, hay 2 actualizaciones de terceros que también están clasificadas como Altamente peligrosas.
La lista de parches de seguridad para los productos de Splunk Enterprise es larga. Además de las vulnerabilidades publicadas hace meses, hay otras 12 vulnerabilidades y 2 vulnerabilidades adicionales de terceros en la lista de parches trimestrales planificada. En este momento, los administradores y CISO deben prestar atención a la lista publicada, ya que 9 de las 12 vulnerabilidades están clasificadas como Altamente Peligrosas. Muchas vulnerabilidades con secuencias de comandos entre sitios son notorias y una incluso permite un ataque DoS a través de macros de búsqueda.
9 vulnerabilidades calificadas como Altas
Splunk mismo declara para sus parches de seguridad trimestrales: “Planeamos crear actualizaciones de parches de seguridad y ponerlas a disposición a través de lanzamientos programados en la nube o lanzamientos de servicio en las instalaciones para versiones compatibles de los productos Splunk en el momento en que se publique el aviso trimestral. Si los parches no se pueden adaptar debido a la viabilidad técnica u otras razones, publicaremos medidas de mitigación y controles de compensación adicionales”. Las actualizaciones de parches de seguridad generalmente se publican el primer martes del trimestre fiscal de Splunk. Las próximas tres fechas previstas son: 7 de febrero de 2023, 2 de mayo de 2023 y 1 de agosto de 2023
Todas las actualizaciones tienen fecha del 2 de noviembre de 2022
- Bloqueo de indexación sobre datos incorrectos enviados a través de protocolos S2S o HEC en Splunk Enterprise High CVE-2022-43572
- Ejecución remota de código a través del componente de generación de PDF del tablero en Splunk Enterprise High CVE-2022-43571
- Inyección de entidad externa XML mediante vista personalizada en Splunk Enterprise High CVE-2022-43570
- Secuencias de comandos entre sitios persistentes a través de un nombre de objeto de modelo de datos en Splunk Enterprise High CVE-2022-43569
- Secuencias de comandos entre sitios reflejadas a través de una plantilla de radio en Splunk Enterprise High CVE-2022-43568
- Ejecución remota de código a través de la función de alertas móviles de la aplicación Splunk Secure Gateway High CVE-2022-43567
- Las copias de seguridad de comandos riesgosos se omiten a través de la consulta de ID de búsqueda en Analytics Workspace en Splunk Enterprise High CVE-2022-43566
- Las copias de seguridad de comandos riesgosos se omiten a través del comando tstats JSON en Splunk Enterprise High CVE-2022-43565
- Los fusibles de comando riesgosos se omiten a través de nombres de campo de comando de búsqueda "rex" en Splunk Enterprise High CVE-2022-43563
- Secuencias de comandos entre sitios persistentes en el cuadro de diálogo "Guardar tabla" en Splunk Enterprise Medium CVE-2022-43561
- Denegación de servicio en Splunk Enterprise por Search Macros Medium CVE-2022-43564
- Inyección de encabezado de host en Splunk Enterprise Low CVE-2022-43562
Otras 2 vulnerabilidades de terceros
- Noviembre Actualizaciones de paquetes de terceros en Splunk Enterprise High
- Respuesta de Splunk a OpenSSL CVE-2022-3602 y CVE-2022-3786 Alto
Acerca de Splunk
Splunk Inc. ayuda a empresas de todo el mundo a convertir los datos en acción. La tecnología Splunk fue desarrollada para examinar, monitorear, analizar y utilizar datos de todo tipo y tamaño como base para acciones concretas.