漏洞分享 - Splunk 產品多個漏洞威脅企業資訊安全
Splunk 產品多個漏洞威脅企業資訊安全
一、摘要
Splunk 產品近日被發現有多個漏洞,遠端攻擊者可能利用這些漏洞,於目標系統觸發敏感資料洩露及繞過保安限制。受影響的系統包括 Splunk Cloud Platform、 Splunk Web 和 Splunk REST API 的多個版本,安全專家建議用戶安裝供應商提供的修補程式以降低安全風險。
二、存在風險
攻擊者可以利用它們來獲取對受影響系統的未經授權訪問。這些漏洞允許攻擊者繞過安全控制措施,可能會導致敏感資料洩露、系統破壞和數據丟失:
- 受影響之系統:
- Splunk Cloud Platform: Splunk Web 9.1.2308.200 以前版本
- Splunk Cloud Platform: Splunk Web 9.0.2208 以前版本
- Splunk Enterprise: Splunk Web version 9.0.0 至 9.0.7 版本
- Splunk Enterprise: Splunk Web version 9.1.0 至 9.1.2 版本
- Splunk Cloud Platform: Splunk REST API 9.1.2312.100 以前版本
- Splunk Enterprise: Splunk REST API 9.0.0 至 9.0.7 版本
- Splunk Enterprise: Splunk REST API 9.1.0 至 9.1.2 版本
- 嚴重漏洞識別碼說明:
- CVE-2024-23675:此漏洞允許攻擊者在未經授權的情況下訪問 Splunk Enterprise 和 Splunk Cloud Platform 中的受限資源。
- CVE-2024-23676:此漏洞允許攻擊者在未經授權的情況下訪問 Splunk Enterprise 和 Splunk Cloud Platform 中的敏感資料。
- CVE-2024-23677: 此漏洞允許攻擊者在未經授權的情況下繞過 Splunk Enterprise 和 Splunk Cloud Platform 中的安全控制措施。
- CVE-2024-23678: 此漏洞允許攻擊者在未經授權的情況下修改 Splunk Enterprise 和 Splunk Cloud Platform 中的資料。
三、建議改善措施:
為了保護系統免受這些漏洞的影響,企業應立即採取以下措施:
- 安裝最新版的 Splunk 修補程式:Splunk 已發佈修補程式來解決這些漏洞,企業應立即安裝這些修補程式以降低安全風險。
- 啟用多重驗證:啟用多重驗證可以增加帳戶的安全防護,即使攻擊者擁有密碼,也需要額外的驗證資訊才能訪問帳戶。
- 加強網路安全措施:企業應加強網路安全措施,例如使用防火牆、入侵檢測系統和防毒軟體,以保護系統免受未經授權的訪問。
- 定期進行安全監控:企業應定期進行安全監控,以便及早發現和響應安全威脅。
情資報告連結:
