Descripción general Splunk ha emitido recientemente un aviso que detalla múltiples vulnerabilidades descubiertas en su software Splunk Enterprise. El aviso clasifica las vulnerabilidades en tres clasificaciones principales según sus puntuaciones base CVSS. En total, hay dos vulnerabilidades clasificadas como Altas, con una puntuación de riesgo considerada Crítica. La categoría Media incluye ocho vulnerabilidades, mientras que hay una vulnerabilidad clasificada como Baja. El aviso identifica varios ID de CVE asociados con estas vulnerabilidades, específicamente: CVE-2024-45731, CVE-2024-45732, CVE-2024-45733, CVE-2024-45734, CVE-2024-45735, CVE-2024-45736, CVE -2024-45737, CVE-2024-45738, CVE-2024-45739, CVE-2024-45740 y CVE-2024-45741. Es importante destacar que Splunk ha confirmado que hay parches disponibles para todas las vulnerabilidades identificadas, instando a los usuarios a implementarlos rápidamente para mitigar los riesgos potenciales. Análisis detallado de vulnerabilidad CVE-2024-45731 aborda una vulnerabilidad crítica de ejecución remota de código y recibe una puntuación CVSS de 8,0, clasificada como alta. Esta vulnerabilidad afecta a Splunk Enterprise para Windows en versiones inferiores a 9.3.1, 9.2.3 y 9.1.6. Un atacante con pocos privilegios puede aprovechar esta vulnerabilidad escribiendo un archivo en el directorio raíz del sistema de Windows si Splunk está instalado en una unidad separada. Esta acción podría permitir al atacante cargar una DLL maliciosa, lo que provocaría la ejecución remota de código. Para mitigar este riesgo, los usuarios deben asegurarse de que Splunk no esté instalado en un disco separado. CVE-2024-45732 está categorizada como una vulnerabilidad media, con una puntuación CVSS de 6,5. Afecta a varias versiones inferiores a 9.3.1 tanto para Splunk Enterprise como para Splunk Cloud Platform. En este caso, un usuario con pocos privilegios puede realizar búsquedas como el usuario “nadie” de Splunk, obteniendo potencialmente acceso a datos restringidos. Se recomienda a los usuarios que modifiquen el archivo local.meta para restringir el acceso de escritura y pueden considerar deshabilitar Splunk Web como solución alternativa. Otra vulnerabilidad media, CVE-2024-45733, también tiene una puntuación de 6,5 y afecta a Splunk Enterprise para Windows en versiones inferiores a 9.2.3 y 9.1.6. Esta vulnerabilidad permite la ejecución remota de código debido a configuraciones de almacenamiento de sesiones inseguras. Para solucionar este problema, los usuarios deben desactivar Splunk Web en indexadores en entornos distribuidos donde no es necesario iniciar sesión. CVE-2024-45734 está clasificado como medio, con una puntuación CVSS de 4,3 y afecta a las versiones de Splunk Enterprise inferiores a 9.2.3 y 9.1.6. Esta vulnerabilidad se puede explotar a través de la función de exportación de PDF, lo que permite a los usuarios ver imágenes locales desde la máquina que ejecuta Splunk Enterprise. Desactivar Splunk Web puede servir como estrategia de mitigación de este riesgo. Otro caso de control de acceso inadecuado, CVE-2024-45735, también tiene una puntuación CVSS de 4,3 y afecta a varias versiones inferiores a 9.2.3 y 9.1.6, incluidas las versiones de Splunk Secure Gateway. Esta vulnerabilidad permite a un usuario con pocos privilegios ver las configuraciones y claves de implementación dentro de la aplicación Splunk Secure Gateway. Los usuarios pueden mitigar este riesgo desactivando la aplicación si no es necesaria o asegurándose de que existan las configuraciones de seguridad adecuadas. CVE-2024-45736, que obtiene una puntuación de 6,5 y se sitúa en la categoría media, implica un consumo incontrolado de recursos. Esta vulnerabilidad puede provocar que el demonio Splunk se bloquee si se ejecuta una consulta de búsqueda diseñada. Se recomienda a las organizaciones que implementen monitoreo y alertas sobre los comportamientos de las consultas de búsqueda para identificar posibles intentos de explotación. CVE-2024-45737 es una vulnerabilidad de baja gravedad, con una puntuación de 3,5, que afecta a varias versiones inferiores a 9.3.1 y 9.2.3. Un atacante podría aprovechar esta vulnerabilidad mediante la falsificación de solicitudes entre sitios (CSRF) para cambiar el estado del modo de mantenimiento de App Key Value Store. Desactivar Splunk Web puede servir como una posible solución. Dos vulnerabilidades, CVE-2024-45738 y CVE-2024-45739, ambas clasificadas como medias con una puntuación CVSS de 4,9, afectan a varias versiones inferiores a 9.3.1, 9.2.3 y 9.1.6. Estas vulnerabilidades podrían exponer parámetros HTTP confidenciales y contraseñas de texto sin formato debido a configuraciones de registro detalladas. Se recomienda a los usuarios ajustar los niveles de registro y eliminar registros confidenciales del índice interno para mitigar estos riesgos. Por último, CVE-2024-45740 y CVE-2024-45741, ambos con una puntuación de 5.4 y categorizados como vulnerabilidades medias, afectan a varias versiones inferiores a 9.2.3 y 9.1.6. Estas vulnerabilidades pueden aprovecharse para ejecutar JavaScript no autorizado en los navegadores de los usuarios. Deshabilitar Splunk Web puede ayudar a mitigar estos riesgos. Recomendaciones para organizaciones Actualice periódicamente todos los sistemas de software con los últimos parches de proveedores para mitigar las vulnerabilidades. Desarrollar una estrategia integral que incluya gestión de inventario, evaluación, pruebas y verificación de parches. Aísle los activos críticos de áreas menos seguras mediante firewalls, VLAN y controles de acceso para limitar la exposición. Mantener un plan de respuesta a incidentes actualizado para abordar eficazmente los incidentes de seguridad a medida que surjan. Implemente soluciones de monitoreo sólidas para detectar y analizar actividades sospechosas en toda la red. Evalúe de forma proactiva los sistemas críticos en busca de posibles actualizaciones o reemplazos para evitar riesgos asociados con software obsoleto. Conclusión Splunk Enterprise y su plataforma en la nube asociada son herramientas esenciales para organizaciones centradas en la gestión avanzada de registros y análisis de seguridad. Sin embargo, la reciente divulgación de múltiples vulnerabilidades resalta la importancia crítica de mantener actualizaciones de software e instalar parches de seguridad. Las organizaciones que no apliquen estos parches pueden verse expuestas a riesgos, incluido el acceso no autorizado y las violaciones de datos. Por lo tanto, los usuarios deben permanecer atentos y proactivos a la hora de implementar las mitigaciones y actualizaciones recomendadas. Relacionado