Saldırganlar Splunk Enterprise'da yeni ortaya çıkan bir güvenlik açığından yararlanıyor. Güvenlik açığı, ağdan kötü amaçlı kodların girmesine ve yürütülmesine izin veriyor. Tüm yapılandırmalar etkilenmez; güncellemeler mevcuttur.
Duyurudan sonra devamını okuyun
Şirket Perşembe günü Splunk'tan bir güvenlik tavsiyesini güncelledi ve ağda güvenlik açığına yönelik saldırıların gözlemlendiğini ekledi. Geçen hafta bildirilen güvenlik açığı Splunk Enterprise'ın 10.2.4 ve 10.0.7 sürümlerinden önceki sürümlerini etkiliyor. Kimliği doğrulanmamış kullanıcılar, PostgreSQL sepet hizmeti uç noktası adı verilen bir nokta aracılığıyla isteğe bağlı dosyalar oluşturabilir veya kesebilir. Etkilenen uç noktanın herhangi bir kimlik doğrulama önlemi yoktur; bu, ağ erişimi olan herkesin kimlik bilgileri sağlamadan dosya işlemlerini gerçekleştirmesine olanak tanır (CVE-2026-20253, CVSS) 9.8risk”eleştirmen“).
Perşembe günkü tavsiye niteliğindeki güncelleme, Splunk Ürün Güvenliği Olayına Müdahale Ekibinin (PSIRT) “bu güvenlik açığının sınırlı düzeyde kötüye kullanıldığının” farkına vardığını belirtiyor. Bu nedenle şirket, müşterilere güvenlikle ilgili hatayı düzeltmek için yazılımın doğru sürümüne güncelleme yapmalarını şiddetle tavsiye ediyor. Splunk Enterprise 10.4, 9.4 ve 9.3 etkilenmez.
Geçici karşı önlemler
Yükseltmenin hemen mümkün olmadığı durumlarda yöneticiler, PostgreSQL sepet hizmetini devre dışı bırakarak sorunu hafifletebilir. Veritabanı için konteynerleştirilmiş bir destek hizmetidir. Ancak, PostgreSQL'in devre dışı bırakılması işlevselliği devre dışı bırakacağından ve bağımlı sepet süreçlerini etkileyebileceğinden, BT yöneticileri bunu bir örneğin Uç İşlemcisi, OpAmp veya SPL2 veri hatlarında yapmamalıdır. Saldırılar gözlemlenmiş olsa da Splunk, başarılı saldırılara ilişkin hiçbir gösterge sunmaz (Uzlaşma Göstergeleri (IOC).
watchTowr Labs da güvenlik açığını daha yakından inceleyerek kendi analizlerini sundu. Bu, yöneticilere, örneklerinin saldırıya açık olup olmadığını öğrenmek gibi yararlı ipuçları sağlar. Ayrıca kırılganlığın istismarını her zamanki mizahi bir şekilde gösteriyorlar.
Geçtiğimiz Aralık ayında Splunk yöneticileri Splunk Enterprise, Universal Forwarder ve Secure Gateway Uygulamasında ciddi güvenlik açıklarıyla karşılaştı. Bu, saldırganların sistemin gerçekte erişilemeyen alanlarına erişmesine olanak tanıdı.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın