Splunk security vulnerabilities

Eergisteren is er door Splunk een aantal vulnerabilities gemeld waarbij wij u graag inlichten over de consequenties van twee van deze vulnerabilities.

svd-2022-0607/CVE-2022-32157

Deze vulnerability omschrijft het ongeautoriseerd downloaden van bundles van de deployment server.

Impact: de impact wordt gereduceerd als u uw universal forwarder verbindingen naar de deployment server heeft beveiligd met certificaten. Zonder een certificaat kunnen clients zich niet aanmelden. Als u geen certificaten gebruikt is er een mogelijkheid dat een ongeautoriseerde client uw Splunk Apps kan downloaden van de deployment server. In de configuratie bestanden zouden mogelijk IP adressen en of credentials kunnen staan.Bij het gebruik van certificaten beperkt u het risico van deze vulnerability tot een inside threat.

Originele melding:
Splunk: SVD-2022-0607 | Splunk
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32157

svd-2022-0608/CVE-2022-32158

Deze vulnerability omschrijft het kunnen uitvoeren van code via de deployment server vanaf één universal forwarder naar alle andere universal forwarders aangesloten bij dezelfde deployment server.

Impact: wij adviseren u als u een versie van Splunk boven de 8.0.X draait, om zo snel mogelijk de deployment server te upgraden naar versie 9.0.X. Wij hebben dit uitvoerig getest en de upgrade lost het probleem op zelfs als u uw deployment server gebruikt voor meerdere rollen zoals cluster master etc. Als u werkt met een versie lager dan 8.0.X adviseren wij u z.s.m. te upgraden naar een versie hoger dan 8.0.X en daarna de deployment server te upgraden naar 9.0.X

Originele Melding:
Splunk: SVD-2022-0608 | Splunk
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32158

Algemene opmerking: draait u Splunk in een gesloten netwerk, zoals uw bedrijfsnetwerk, loopt u nog steeds risico. Het verplaatst zich naar een insider threat en zou u vanwege risico beperking kunnen wachten tot er een 9.0.1 versie van Splunk beschikbaar is. Indien u bij ons een beheerdienst afneemt zullen wij z.s.m. contact met u opnemen over de te nemen acties. Heeft u geen beheerdienst bij ons afgenomen en heeft u toch hulp nodig, neemt u dan contact met ons op via support@umbrio.com.

Ge√Įnteresseerd in Splunk dataplatform beheer?
Wij zullen zo spoedig mogelijk contact met u opnemen.
Contactformulier openen

" * " geeft vereiste velden aan