Splunk anunció esta semana el lanzamiento de un nuevo conjunto de parches trimestrales para abordar múltiples vulnerabilidades en Splunk Enterprise.
El más importante de las vulnerabilidades, según su clasificación de gravedad, es un problema de validación del certificado TLS de alta gravedad en la interfaz de usuario de Ingest Actions.
“Al usar Ingest Actions para configurar un destino que reside en Amazon Simple Storage Service (S3) en Splunk Web, la validación del certificado TLS no se realiza y prueba correctamente para el destino”, explica Splunk en su aviso .
Rastreado como CVE-2022-37437, la vulnerabilidad de seguridad solo afecta las conexiones entre Splunk Enterprise y un destino de acciones de ingesta que se realizan a través de Splunk Web. Solo se ven afectados los entornos con la validación de certificados TLS configurada.
Según Splunk, los destinos configurados directamente en el archivo de configuración outputs.conf no se ven afectados. Las versiones de Splunk Enterprise anteriores a la 9.0.0 no se ven afectadas. La vulnerabilida de seguridad se resolvió en Splunk Enterprise versión 9.0.1.
Otra vulnerabilidad que Splunk abordó esta semana es CVE-2022-37439, un problema de gravedad media que podría provocar un bloqueo al indexar un archivo ZIP creado con fines maliciosos mediante la entrada de monitoreo de archivos. La aplicación fallará incluso después de un reinicio, lo que requerirá la eliminación manual del archivo malicioso.
La vulnerabilidad afecta a las versiones de Splunk Enterprise y Universal Forwarder anteriores a la versión 9.0 y se solucionó con el lanzamiento de las versiones 8.1.11 y 8.2.7.1 de la aplicación.
Splunk ha lanzado una herramienta que permite a los administradores identificar los bloqueos de aplicaciones resultantes de los ataques de Zip Bomb, ayudándolos a descubrir los archivos ZIP con formato incorrecto que causaron los bloqueos. Sin embargo, no detectará los ataques antes del bloqueo.
Esta semana, Splunk también resolvió un problema de divulgación de información en Splunk Enterprise, que permite a los usuarios autenticados filtrar datos a través de paneles diseñados. La vulnerabilidad se solucionó con el lanzamiento de las versiones 8.1.11, 8.2.7.1 y 9.0.1 de Splunk Enterprise.
Además, Splunk anunció parches para cuatro vulnerabilidades de componentes de terceros en Splunk Enterprise y Universal Forwarders. Las últimas versiones de ambas aplicaciones incluyen correcciones para una vulnerabilidad en OpenSSL y tres en libxml2.
Puede encontrar más información sobre las vulnerabilidades abordadas en la página de seguridad del producto de Splunk.
Fuente: https://www.securityweek.com/quarterly-security-patches-released-splunk-enterprise
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.