Splunk đã công bố các cảnh báo bảo mật về nhiều lỗ hổng Splunk ảnh hưởng đến các phiên bản khác nhau của Splunk Enterprise và Splunk Cloud Platform. Các lỗ hổng này bao gồm từ các vấn đề Cross-Site Scripting (XSS) đến các lỗi bỏ qua kiểm soát truy cập, với điểm CVSS dao động từ 4.6 đến 7.5.
Các cảnh báo bảo mật chi tiết, được công bố tại advisory.splunk.com, tiết lộ tổng cộng sáu lỗ hổng CVE nghiêm trọng. Chúng chủ yếu tác động đến các thành phần Splunk Web, nơi kẻ tấn công có thể khai thác các giao diện dựa trên web để xâm phạm tính toàn vẹn hệ thống hoặc truy cập dữ liệu trái phép.
Tổng quan chi tiết về các Lỗ hổng Splunk
Lỗ hổng Cross-Site Scripting (XSS)
Hai lỗ hổng Cross-Site Scripting (XSS) cho phép người dùng có đặc quyền thấp thực thi mã JavaScript độc hại trong trình duyệt của nạn nhân. Việc này có thể dẫn đến đánh cắp dữ liệu phiên làm việc, chuyển hướng người dùng hoặc các cuộc tấn công lừa đảo mục tiêu.
- CVE-2025-20367: Lỗ hổng này nhắm mục tiêu vào endpoint
/app/search/tablethông qua tham sốdataset.command. Kẻ tấn công có thể chèn mã độc vào tham số này để thực thi phía máy khách. - CVE-2025-20368: Khai thác các thông báo lỗi và chi tiết kiểm tra công việc trong các tìm kiếm đã lưu. Mã độc có thể được nhúng vào các trường này và kích hoạt khi nạn nhân xem các chi tiết liên quan.
Cả hai lỗ hổng Splunk XSS đều tiềm ẩn nguy cơ cao đối với người dùng tương tác với giao diện web của Splunk, cho phép kẻ tấn công kiểm soát các tương tác trình duyệt của họ.
Tấn công Giả mạo yêu cầu phía máy chủ (SSRF)
CVE-2025-20371 được xếp hạng là lỗ hổng Splunk nghiêm trọng nhất trong nhóm này, với điểm CVSS 7.5. Đây là một cuộc tấn công Server-Side Request Forgery (SSRF) mù (blind) không yêu cầu xác thực ban đầu.
Khai thác lỗ hổng này có thể cho phép kẻ tấn công thực hiện các lệnh gọi REST API thay mặt cho người dùng có đặc quyền cao đã được xác thực. Mặc dù yêu cầu cấu hình hệ thống cụ thể và tương tác từ phía người dùng, rủi ro bảo mật tiềm tàng rất lớn, bao gồm khả năng tương tác với các dịch vụ nội bộ hoặc truy cập thông tin nhạy cảm.
Vấn đề kiểm soát truy cập không đúng cách
CVE-2025-20366 là một lỗi kiểm soát truy cập không đúng cách, đạt 6.5 trên thang điểm CVSS. Lỗ hổng này cho phép người dùng có đặc quyền thấp truy cập vào các kết quả tìm kiếm nhạy cảm.
Việc này có thể thực hiện được bằng cách đoán các Search ID duy nhất được tạo ra bởi các công việc quản trị chạy nền. Lỗ hổng ảnh hưởng đến chức năng cốt lõi của việc gửi các công việc chạy nền, có thể dẫn đến rò rỉ dữ liệu nhạy cảm và thông tin độc quyền.
Các Lỗ hổng Khác ảnh hưởng đến Splunk
Bên cạnh các vấn đề trên, hai lỗ hổng Splunk khác cũng được phát hiện, có thể gây ra các cuộc tấn công từ chối dịch vụ:
- CVE-2025-20369: Một lỗ hổng XML External Entity (XXE) injection thông qua các trường nhãn bảng điều khiển. Việc khai thác có thể dẫn đến các cuộc tấn công từ chối dịch vụ (DoS), làm gián đoạn hoạt động của hệ thống Splunk.
- CVE-2025-20370: Lỗi này cho phép người dùng có đặc quyền cao gây ra điều kiện DoS thông qua nhiều yêu cầu liên kết LDAP. Việc này có thể làm quá tải máy chủ LDAP hoặc Splunk, dẫn đến ngừng hoạt động dịch vụ.
Các Phiên bản Splunk bị ảnh hưởng và giải pháp
Các lỗ hổng Splunk đã được liệt kê tác động đến nhiều phiên bản của Splunk Enterprise. Cụ thể, các phiên bản dưới 9.4.4, 9.3.6 và 9.2.8 đều nằm trong diện ảnh hưởng. Tương tự, các phiên bản Splunk Cloud Platform dưới các số bản dựng cụ thể cũng cần được lưu ý.
Một điểm cần lưu ý là Splunk Enterprise 10.0.0 dễ bị tấn công LDAP DoS và SSRF nhưng lại không bị ảnh hưởng bởi các vấn đề XSS và kiểm soát truy cập. Hầu hết các lỗ hổng Splunk đều nhắm mục tiêu vào thành phần Splunk Web, ngoại trừ lỗi SSRF ảnh hưởng trực tiếp đến REST API.
Chiến lược Khắc phục và Giảm thiểu các Lỗ hổng Splunk
Để bảo vệ hệ thống khỏi các mối đe dọa này, các tổ chức đang sử dụng các phiên bản Splunk bị ảnh hưởng nên ngay lập tức tiến hành cập nhật bản vá bảo mật lên các bản phát hành mới nhất. Đối với Splunk Enterprise, các phiên bản cần cập nhật là 10.0.1, 9.4.4, 9.3.6 hoặc 9.2.8. Đối với Splunk Cloud Platform, Splunk đang chủ động giám sát và tự động vá các phiên bản.
Cập nhật bản vá bảo mật là ưu tiên hàng đầu
Việc triển khai các bản vá bảo mật mới nhất là biện pháp hiệu quả và toàn diện nhất để khắc phục các lỗ hổng Splunk đã được công bố. Việc này không chỉ giải quyết các lỗi hiện tại mà còn tăng cường khả năng phòng thủ tổng thể của hệ thống an ninh mạng.
Luôn đảm bảo rằng môi trường Splunk của bạn được duy trì với các bản cập nhật mới nhất để đối phó kịp thời với các mối đe dọa mạng đang phát triển.
Biện pháp Giảm thiểu Tạm thời (Workarounds)
Trong trường hợp không thể thực hiện cập nhật bản vá bảo mật ngay lập tức, quản trị viên có thể triển khai một số biện pháp giảm thiểu tạm thời để hạn chế rủi ro bảo mật:
- Vô hiệu hóa Splunk Web: Biện pháp này cung cấp lớp bảo vệ chống lại hầu hết các lỗ hổng Splunk liên quan đến giao diện web. Tuy nhiên, việc này sẽ ảnh hưởng đáng kể đến chức năng và khả năng sử dụng của Splunk.
- Giảm thiểu SSRF: Đối với lỗ hổng SSRF (CVE-2025-20371), đặt tham số
enableSplunkWebClientNetlocthànhfalsetrong tệp cấu hìnhweb.confsẽ giúp giảm thiểu đáng kể rủi ro.
[settings]
enableSplunkWebClientNetloc = false
- Giảm thiểu LDAP DoS: Lỗ hổng LDAP DoS (CVE-2025-20370) có thể được giảm thiểu bằng cách loại bỏ khả năng
change_authenticationkhỏi các vai trò người dùng không yêu cầu cấp độ truy cập đặc quyền cao này. Việc giới hạn quyền truy cập này giúp ngăn chặn việc lạm dụng tính năng để gây ra DoS.
Khuyến nghị Bảo mật Chung để phòng ngừa
Các lỗ hổng Splunk mới đây một lần nữa nhấn mạnh tầm quan trọng của việc duy trì các cài đặt Splunk được cập nhật và triển khai kiểm soát truy cập phù hợp. Các tổ chức nên thường xuyên xem xét đặc quyền của người dùng và đảm bảo các tài khoản có đặc quyền thấp chỉ có quyền tối thiểu cần thiết để thực hiện công việc của họ.
Các nhóm bảo mật cần giám sát chặt chẽ các mẫu truy cập công việc tìm kiếm bất thường. Ngoài ra, việc triển khai phân đoạn mạng hiệu quả có thể giúp hạn chế tác động của các cuộc tấn công SSRF tiềm ẩn bằng cách cách ly các hệ thống quan trọng.
Đánh giá bảo mật định kỳ các cấu hình Splunk là cần thiết để chủ động xác định các cài đặt dễ bị tổn thương. Điều này giúp ngăn chặn các lỗ hổng bị khai thác trước khi chúng gây ra hệ thống bị xâm nhập.
Việc phát hiện nhiều lỗ hổng XSS cũng nhấn mạnh nhu cầu về xác thực đầu vào và mã hóa đầu ra mạnh mẽ trong các ứng dụng web. Đặc biệt, những ứng dụng xử lý nội dung do người dùng tạo và các truy vấn tìm kiếm phải áp dụng các biện pháp này một cách nghiêm ngặt để đảm bảo an toàn thông tin.
