O fabricante Splunk precisa preencher muitas lacunas com patches de segurança em suas atualizações planejadas de 3 meses. Das 12 atualizações listadas, o Splunk 9 se classifica como altamente perigoso. Além disso, existem 2 atualizações de terceiros que também são classificadas como Altamente Perigosas.
A lista de patches de segurança para produtos Splunk Enterprise é longa. Além das vulnerabilidades publicadas meses atrás, há outras 12 vulnerabilidades e 2 vulnerabilidades adicionais de terceiros na lista planejada de patches trimestrais. Neste momento, administradores e CISOs devem ficar atentos à lista publicada, pois 9 das 12 vulnerabilidades são classificadas como Altamente Perigosas. Muitas vulnerabilidades com scripts entre sites são evidentes e uma permite até mesmo um ataque DoS por meio de macros de pesquisa.
9 vulnerabilidades classificadas como Altas
O próprio Splunk declara para seus patches de segurança trimestrais: “Planejamos criar atualizações de patches de segurança e disponibilizá-los por meio de lançamentos de nuvem agendados ou lançamentos de serviços locais para versões suportadas de produtos Splunk no momento em que o comunicado trimestral for publicado. Se os patches não puderem ser transferidos devido à viabilidade técnica ou outros motivos, publicaremos medidas de mitigação e controles de compensação adicionais.” As atualizações de patch de segurança são normalmente lançadas na primeira terça-feira do trimestre fiscal do Splunk. As próximas três datas programadas são: 7 de fevereiro de 2023, 2 de maio de 2023 e 1º de agosto de 2023
Todas as atualizações são datadas de 2 de novembro de 2022
- Bloqueio de indexação sobre dados incorretos enviados por protocolos S2S ou HEC no Splunk Enterprise High CVE-2022-43572
- Execução remota de código por meio do componente de geração de PDF do painel no Splunk Enterprise High CVE-2022-43571
- Injeção de entidade externa XML via exibição personalizada no Splunk Enterprise High CVE-2022-43570
- Script cross-site persistente por meio de um nome de objeto de modelo de dados no Splunk Enterprise High CVE-2022-43569
- Script cross-site refletido via modelo de rádio no Splunk Enterprise High CVE-2022-43568
- Execução remota de código via recurso de alertas móveis do aplicativo Splunk Secure Gateway High CVE-2022-43567
- Os backups de comandos arriscados são ignorados por meio da consulta de ID de pesquisa no Analytics Workspace no Splunk Enterprise High CVE-2022-43566
- Os backups de comandos arriscados são ignorados por meio do comando tstats JSON no Splunk Enterprise High CVE-2022-43565
- Os fusíveis de comando arriscados são ignorados por meio de nomes de campo de comando de pesquisa "rex" no Splunk Enterprise High CVE-2022-43563
- Script cross-site persistente na caixa de diálogo "Salvar tabela" no Splunk Enterprise Medium CVE-2022-43561
- Negação de serviço no Splunk Enterprise por meio de macros de pesquisa CVE-2022-43564
- Injeção de cabeçalho de host no Splunk Enterprise Low CVE-2022-43562
Outras 2 vulnerabilidades de terceiros
- Novembro Atualizações de pacotes de terceiros no Splunk Enterprise High
- Resposta do Splunk ao OpenSSL CVE-2022-3602 e CVE-2022-3786 High
Sobre o Splunk
A Splunk Inc. ajuda empresas em todo o mundo a transformar dados em ação. A tecnologia Splunk foi desenvolvida para examinar, monitorar, analisar e usar dados de todos os tipos e tamanhos como base para ações concretas.