- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
威胁预警团队
2022/12/23
Splunk是一款用于实时企业日志管理的软件,可收集、存储、搜索、诊断和报告所有日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。近日,新华三攻防实验室威胁预警团队监测到Splunk官方发布了安全公告,修复了一个存在Splunk Enterprise中远程代码执行漏洞(CVE-2022-43571)。目前,此漏洞利用细节已公开,新华三攻防实验室建议用户更新Splunk Enterprise到最新的安全版本避免遭受攻击利用。
该漏洞是由于Splunk Enterprise中未对提交的数据进行充分过滤导致,由于Splunk Enterprise 中 SimpleXML仪表板中存在代码注入,经过身份验证的恶意攻击者可通过构造特制的数据包,并通过PDF导出功能触发任意代码执行。
在SimpleXML仪表板中构造特殊数据,通过PDF导出操作触发任意代码执行:
· 8.1.0 <= Splunk Enterprise < 8.1.12
· 8.2.0 <= Splunk Enterprise < 8.2.9
· 9.0.0 <= Splunk Enterprise < 9.0.2
· 9.0.0 <= Splunk Cloud Platform < 9.0.2
威胁等级 | 高危 |
影响程度 | 一般 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 8.8 |
目前官方已发布新版本,受影响用户可以升级更新到安全版本,官方链接: https://www.splunk.com/en_us/product-security/announcements/svd-2022-1111.html
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.223版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
https://www.splunk.com/en_us/product-security/announcements/svd-2022-1111.html
产品与解决方案
