Fragen? Antworten! Siehe auch: Alternativlos
Splunk Enterprise deployment servers in versions before 9.0 let clients deploy forwarder bundles to other deployment clients through the deployment server. An attacker that compromised a Universal Forwarder endpoint could use the vulnerability to execute arbitrary code on all other Universal Forwarder endpoints subscribed to the deployment server.
Ja Scheiße, Bernd! Hätte ich das gestern gewusst, hätte ich das in meine Folien eingebaut. Da ist eine Folie bei: Wenn Sie Network Monitoring machen, müssen Sie den Agenten und Sensoren und deren Cloud trauen. Die kommen in Ihrer Firma überall hin. Wenn die jemand hackt, der auch.Aber mir glaubt sowas ja immer keiner. Die glauben ja auch noch alle, dass Schlangenöl nicht die Angriffsoberfläche erhöht.
Update: Die Splunk-User sind gerade ziemlich angefressen. Hier eine repräsentative Mecker-Mail:
ist noch viel grossartiger.
Zusätzlich zu der verlinkten SVD-2022-0608 gibts auch noch die 607, die die Authentifizierung am Deploymentserver aushebelt. Hoppla. Die ist auch seit mindestens 2020 bekannt. Sprich: wenn ich den Deploymentserver kenne und da rankomme, dann kann ich dem, ohne selbst subscriber zu sein irgendwas unterjubeln.
Nun kommt noch obendrauf, dass die Veröffentlichung dieser Schwachstelle einherging mit der Splunkkonferenz der vergangenen Woche, auf der dann die taufrische Splunk Version 9.0.0 präsentiert wurde.
Splunk Cloud Platform (das SaaS angebot) ist nicht betroffen, aber bitte betatestet den neuen Release doch mal auf eurer Produktion.
Die Solution des Fixes wurde auch (möglicherweise mehrfach) editiert, was für mich darauf hindeutet, dass die selber erstmal gar nicht so genau wussten, was man denn nun alles updaten muss um die Schwachstelle zu beheben.
Nun und offenbar wurde die Remote Code Execution intern gefunden beim Rewrite der Security Architektur, war also vermutlich nicht wirklich bekannt. Die Schwachstelle dann mit der neuen (.0.0) Version zu veröffentlichen, die alle möglichen Kinderkrankheiten mitbringt und im Enterpriseumfeld sicherlich niemand auf Produktion nutzen will, halte ich dann auch für nen tierisch schlechten Marketing move. Die hätte man vielleicht wenigstens bis zum nächsten Minor Release, mit dem ich aus bisheriger Erfahrung mit .0er Releases im Herbst erwarten würde, vielleicht in der Schublade liegen lassen können.
(Danke, Andreas)