关于Splunk Enterprise 远程代码执行漏洞风险提示

2022-06-2310

一、背景介绍

6月22日,市委网信办技术支撑单位监测到Splunk发布Splunk Enterprise 远程代码执行漏洞 (CVE-2022-32158)通告。 

1.1漏洞描述

Splunk Enterprise是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及IT和业务智能。Splunk Enterprise部署服务器9.0之前的版本存在远程代码执行漏洞,允许客户端将转发器捆绑包通过该服务器部署到其他部署客户端。使用部署服务器时,允许创建可由Splunk通用转发器(SUF)代理或其他Splunk Enterprise实例(如重型转发器)自动下载的配置包,这些配置包中允许包含二进制文件,SUF自动下载后会执行该二进制程序。默认情况下,SUF代理在Windows上以SYSTEM身份运行。控制了通用转发器端点的攻击者可利用该漏洞在订阅部署服务器的所有其他通用转发器端点上执行任意代码。

1.2漏洞编号

CVE-2022-32158

1.3漏洞等级

高危


二、修复建议

2.1受影响版本: 

Splunk Enterprise < 9.0

2.2修复建议:

请将 Splunk Enterprise deployment servers 升级至 9.0 或以上版本

https://www.splunk.com/en_us/product-security/announcements/svd-2022- 0608.html