Sicherheits-Management: Teils kritische Lücken in Splunk geschlossen
Das Sicherheits-Management-System Splunk enthält teils kritische Sicherheitslücken. Der Hersteller dichtet die mit einer neuen Version ab.
(Bild: Blackboard/Shutterstock.com)
Im Security Information and Event Management-System (SIEM) Splunk des gleichnamigen Herstellers haben die Entwickler mehrere Sicherheitslücken geschlossen. Insgesamt acht Schwachstellen meldet das Unternehmen. Darunter findet sich eine mit kritischem Schweregrad, fünf mit hohem, eine mit mittlerem und eine mit undefiniertem Risiko für die Nutzer.
Schadcode-Verteilung möglich
Die kritische Sicherheitslücke betrifft die Splunk Enterprise Deployment Server. Diese lassen Clients sogenannte "Forwarder Bundles" an andere Clients ausliefern. Wenn ein Angreifer einen universellen Forwarder kompromittiert hat, könnte er von dort auf allen anderen, an denselben Deployment-Server angebundenen universellen Forwardern beliebigen Code ausführen (CVE-2022-32158, CVSS 9.0, Risiko "kritisch").
Zudem erlaubten die Splunk Enterprise Deployment Server unauthentifiziertes Herunterladen der Forwarder Bundles (CVE-2022-32157, CVSS 7.5, hoch). Die weiteren Schwachstellen mit hohem Risiko betreffen insbesondere den ungenügenden Umgang mit TLS-Zertifikaten (CVE-2022-32151, CVE-2022-32152, CVE-2022-32153, CVE-2022-32156).
Migration nötig
Von den meisten Sicherheitslücken sei die Cloud-Version nicht betroffen, schreibt Splunk in den Sicherheitsmeldungen. Lediglich die Lücke von mittlerem Schweregrad, durch die Angreifer riskante Suchbefehle in Formular-Token einschleusen könnten, betraf auch die Cloud – wurde dort aber vom Hersteller bereits abgedichtet (CVE-2022-32154, CVSS 6.8, mittel). Ohne Risikobewertung ergänzt Splunk, dass die universellen Forwarder standardmäßig Log-ins aus dem Netz erlaubten. In der aktualisierten Fassung bindet die Verwaltung an localhost, was die Anmeldung aus dem Netz unterbindet (CVE-2022-32155).
Laut Splunk gebe es bislang keine Belege, dass die Schwachstellen von externen Angreifern missbraucht würden. Die Fehler behebt der Hersteller mit der Version 9.0 der Software. Die ist erst kürzlich erschienen, was bei einigen Administratoren die Befürchtung nährt, sie sei noch nicht ausgereift. IT-Verantwortliche, die noch ältere Versionen wie 8.x einsetzen, sollten zur Absicherung ihrer Systeme dennoch ein Wartungsfenster für die Migration auf die neue Fassug zeitnah einplanen.
(dmk)