أصدرت شركة Splunk، التابعة لـ Cisco، تحديثات أمنية لمعالجة ثغرة خطيرة في Splunk Enterprise تتيح للمهاجمين تنفيذ عمليات ملفات غير مصرح بها، بل والوصول إلى Remote Code Execution دون الحاجة إلى مصادقة. الثغرة مصنفة بدرجة خطورة 9.8 وفقًا لمقياس CVSS، وتعود إلى غياب ضوابط المصادقة في خدمة PostgreSQL الجانبية (Sidecar Service).
الإصدارات المتأثرة والإصلاحات
- الإصدارات من 10.0.0 حتى 10.0.6 → تم إصلاحها في 10.0.7
- الإصدارات من 10.2.0 حتى 10.2.3 → تم إصلاحها في 10.2.4
- الإصدار 10.4 غير متأثر
- خدمة Splunk Cloud غير متأثرة لأنها لا تستخدم PostgreSQL Sidecars
سلسلة الهجوم المحتملة
وفقًا لتحليل watchTowr Labs، يمكن استغلال الثغرة عبر نقاط النهاية:
/v1/postgres/recovery/backup
/v1/postgres/recovery/restore
السيناريو يتضمن:
الاتصال بقاعدة بيانات يتحكم بها المهاجم وإسقاط محتواها في ملف عبر نقطة /backup.
تحميل هذا المحتوى إلى PostgreSQL المحلي باستخدام /restore مع ملف .pgpass الذي يحتوي على بيانات اعتماد المستخدم postgres_admin.
تنفيذ استعلامات SQL خبيثة أثناء عملية الاستعادة، بما في ذلك إنشاء دوال تستخدم lo_export لكتابة ملفات خبيثة على النظام.
استبدال ملفات Python التي ينفذها Splunk بشكل دوري مثل:
/opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py
لإدخال تعليمات برمجية ضارة تؤدي إلى تنفيذها لاحقًا.
خطورة الاستغلال
هذا التسلسل يمنح المهاجمين قدرة على:
- الكتابة التعسفية للملفات داخل نظام Splunk.
- التصعيد إلى تنفيذ تعليمات برمجية عن بُعد.
- السيطرة الكاملة على بيئة التشغيل دون الحاجة إلى بيانات اعتماد.
التوصيات الأمنية
- التحديث الفوري إلى الإصدارات الآمنة (10.0.7 أو 10.2.4).
- مراقبة أي تغييرات غير متوقعة في ملفات PostgreSQL وملفات Python المرتبطة بـ Splunk.
- مراجعة سجلات النظام بحثًا عن محاولات استغلال نقاط .
- تطبيق ضوابط إضافية على الوصول الشبكي إلى خدمات Splunk الداخلية.
