کشف آسیب‌پذیری در Splunk

به گزارش کارگروه امنیت سایبربان ؛ Splunk یکی از پلتفرم‌های تحلیل داده و مانیتورینگ است که در سازمان‌ها برای پردازش و تحلیل لاگ‌ها استفاده می‌شود. اخیراً یک آسیب‌پذیری با شناسه‌ی CVE-2025-20229 در نسخه‌های مختلف Splunk Enterprise و Splunk Cloud Platform شناسایی شده است که به کاربران با سطح دسترسی پایین امکان اجرای کد از راه دور را می‌دهد. این نقص به دلیل عدم بررسی مناسب سطح دسترسی در فرآیند آپلود فایل رخ می‌دهد و می‌تواند به مهاجمان اجازه دهد تا کنترل سیستم را در دست بگیرند.

جزئیات آسیب‌پذیری

در نسخه‌های آسیب‌پذیر Splunk، یک کاربر غیر از admin و power با سطح دسترسی پایین می‌تواند از طریق آپلود فایل مخرب در مسیر:
$SPLUNK_HOME/var/run/splunk/apptemp
کد دلخواه خود را روی سرور اجرا کند، دسترسی غیرمجاز به سرور Splunk داشته باشد و داده‌های حساس را سرقت کند. این نقص به دلیل عدم انجام بررسی‌های احراز هویت و مجوزهای لازم در فرآیند آپلود فایل ایجاد شده است.

بردار CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H نشان می‌دهد که مهاجم برای بهره‌برداری از این آسیب‌پذیری باید بتواند به‌طور غیرمجاز وارد سیستم شود یا به نقاطی دسترسی پیدا کند که به‌طور معمول برای کاربران عادی یا با دسترسی پایین غیرمجاز است.
این آسیب‌پذیری از نوع اجرای کد از راه دور (RCE) است و می‌تواند به مهاجم این امکان را بدهد که از طریق تعامل با کاربر به سیستم هدف نفوذ کند. این آسیب‌پذیری می‌تواند تأثیرات جدی بر محرمانگی، یکپارچگی و دسترس‌پذیری سرورهای آسیب‌پذیر داشته باشد.

نسخه‌های تحت تأثیر

Splunk Enterprise:

• تمامی نسخه‌های پایین‌تر از 9.3.3، 9.2.5 و 9.1.8

• نسخه‌ی 9.4.0 تحت تأثیر این آسیب‌پذیری قرار دارد.

Splunk Cloud Platform:

• تمامی نسخه‌های پایین‌تر از 9.2.2406.108، 9.3.2408.104، 9.2.2403.114 و 9.1.2312.208

توصیه‌های امنیتی

• به‌روزرسانی Splunk به نسخه‌های امن.

• نظارت بر دایرکتوری آپلود: $SPLUNK_HOME/var/run/splunk/apptemp و حذف فایل‌های مشکوک.

• محدودسازی دسترسی کاربران غیرضروری.