サイバーニュース.jp

世界のサイバーなニュースを配信

Splunk Enterpriseに複数の脆弱性、攻撃者が不正なJavaScriptコードを実行可能に

カテゴリ:

, , , , , , , , ,

概要

Splunkは、Splunk EnterpriseおよびSplunk Cloud Platformの様々なバージョンに影響を与える複数の脆弱性に対処するセキュリティアドバイザリを公開しました。これらの脆弱性は、クロスサイトスクリプティング(XSS)からアクセス制御のバイパスまで多岐にわたり、CVSSスコアは4.6から7.5の範囲です。

特定された主要な脆弱性

セキュリティアドバイザリでは、主にSplunk Webコンポーネントに影響を与える6つの異なる脆弱性が明らかにされています。2つのクロスサイトスクリプティングの欠陥により、低権限のユーザーが被害者のブラウザで悪意のあるJavaScriptコードを実行できる可能性があります。

  • CVE-2025-20366 (SVD-2025-1001): 不適切なアクセス制御 – CVSS 6.5 (中)
  • CVE-2025-20367 (SVD-2025-1002): 反射型XSS – CVSS 5.7 (中)
  • CVE-2025-20368 (SVD-2025-1003): 格納型XSS – CVSS 5.7 (中)
  • CVE-2025-20369 (SVD-2025-1004): XML外部エンティティ (XXE) – CVSS 4.6 (中)
  • CVE-2025-20370 (SVD-2025-1005): サービス拒否 (DoS) – CVSS 4.9 (中)
  • CVE-2025-20371 (SVD-2025-1006): サーバーサイドリクエストフォージェリ (SSRF) – CVSS 7.5 (高)

特に、CVE-2025-20367/app/search/tableエンドポイントのdataset.commandパラメータを標的とし、CVE-2025-20368は保存された検索のエラーメッセージやジョブ検査の詳細を悪用します。

最も深刻な脆弱性であるCVE-2025-20371(CVSSスコア7.5)は、認証されていないブラインドサーバーサイドリクエストフォージェリ(SSRF)攻撃です。これにより、攻撃者は認証された高権限ユーザーに代わってREST APIコールを実行できる可能性がありますが、特定の構成設定とユーザー操作が必要です。

CVE-2025-20366(CVSSスコア6.5)は、低権限ユーザーがバックグラウンドの管理ジョブから一意の検索IDを推測することで、機密性の高い検索結果にアクセスできる不適切なアクセス制御の問題です。

その他、ダッシュボードのラベルフィールドを介したXML外部エンティティ(XXE)インジェクションであるCVE-2025-20369は、サービス拒否攻撃を引き起こす可能性があり、CVE-2025-20370は、高権限ユーザーが複数のLDAPバインドリクエストを通じてDoS状態をトリガーできる脆弱性です。

影響を受ける製品とバージョン

これらの脆弱性は、Splunk Enterpriseのバージョン9.4.4、9.3.6、9.2.8未満の複数バージョンに影響を与えます。Splunk Cloud Platformも特定のビルド番号未満のバージョンが影響を受けます。特筆すべきは、Splunk Enterprise 10.0.0がLDAP DoSおよびSSRF攻撃に対して脆弱であるものの、XSSおよびアクセス制御の問題には影響されない点です。SSRFの欠陥がREST APIに影響を与えることを除き、すべての脆弱性は主にSplunk Webコンポーネントを標的としています。

推奨される対策と緩和策

影響を受けるSplunkバージョンを使用している組織は、直ちに最新のパッチ適用済みリリース(Splunk Enterpriseの場合は10.0.1、9.4.4、9.3.6、または9.2.8)にアップグレードする必要があります。SplunkはCloud Platformインスタンスを自動的に監視し、パッチを適用しています。

即座のパッチ適用が困難な環境では、管理者はいくつかの回避策を実装できます。

  • Splunk Webを無効にすることで、ほとんどの脆弱性から保護されますが、機能に影響を与える可能性があります。
  • SSRF脆弱性に対しては、web.conf構成ファイルでenableSplunkWebClientNetlocfalseに設定することでリスクを軽減できます。
  • LDAP DoS脆弱性は、この高権限アクセスレベルを必要としないユーザーロールからchange_authentication機能を削除することで緩和できます。

セキュリティ強化の重要性

これらの脆弱性は、Splunkのインストールを最新の状態に保ち、適切なアクセス制御を実装することの重要性を浮き彫りにしています。組織は定期的にユーザー権限を見直し、低権限アカウントが必要最小限の権限のみを持つように徹底すべきです。セキュリティチームは、異常な検索ジョブアクセスパターンを監視し、潜在的なSSRF攻撃の影響を制限するためにネットワークセグメンテーションを実装する必要があります。Splunk構成の定期的なセキュリティ評価は、悪用される前に脆弱な設定を特定するのに役立ちます。複数のXSS脆弱性の発見は、特にユーザー生成コンテンツや検索クエリを扱うWebアプリケーションにおける入力検証と出力エンコーディングの必要性を強調しています。

元記事: https://gbhackers.com/splunk-enterprise-flaws/

投稿をさらに読み込む