Lỗ hổng Splunk RCE CVE-2025-20229: Thông tin và Khuyến nghị

27/03/2025
2 mins read

Vulnerability Splunk RCE, được xác định là CVE-2025-20229, là một vấn đề nghiêm trọng cho phép người dùng quyền hạn thấp thực hiện mã tùy ý bằng cách tải lên các tệp độc hại vào thư mục $SPLUNK_HOME/var/run/splunk/apptemp. Lỗ hổng này tồn tại trong các phiên bản Splunk Enterprise trước 9.3.3, 9.2.5 và 9.1.8, cũng như trong các phiên bản Splunk Cloud Platform trước 9.3.2408.104, 9.2.2406.108, 9.2.2403.114 và 9.1.2312.208.

Nội dung
Thông tin chính về CVE-2025-20229
Lỗ hổng bổ sung trong ứng dụng Splunk Secure Gateway
Khuyến nghị
Hướng dẫn thực tế

Thông tin chính về CVE-2025-20229

  • Ảnh hưởng: Người dùng không có vai trò “admin” hoặc “power” có thể thực hiện Remote Code Execution (RCE) bằng cách tải lên các tệp độc hại.
  • Điểm CVSS: Lỗ hổng này có điểm số CVSSv3.1 là 8.0, cho thấy mức độ nghiêm trọng cao.
  • Các phiên bản bị ảnh hưởng:
    • Splunk Enterprise: Các phiên bản từ 9.1.0 đến 9.1.7, 9.2.0 đến 9.2.4, và 9.3.0 đến 9.3.2.
    • Splunk Cloud Platform: Các bản khác nhau trước 9.3.2408.104, 9.2.2406.108 và 9.1.2312.208.
  • Các bản sửa lỗi: Có sẵn trong các phiên bản Splunk Enterprise 9.1.8, 9.2.5, 9.3.3 và 9.4.0, và trong các phiên bản Splunk Cloud Platform 9.3.2408.104, 9.2.2406.108, 9.2.2403.114 và 9.1.2312.208.

Lỗ hổng bổ sung trong ứng dụng Splunk Secure Gateway

Một lỗ hổng nghiêm trọng khác, CVE-2025-20231, ảnh hưởng đến ứng dụng Splunk Secure Gateway và dẫn đến sự rò rỉ của phiên người dùng và mã thông báo cấp quyền. Lỗ hổng này có điểm số CVSSv3.1 là 7.1 và yêu cầu kẻ tấn công lừa dối nạn nhân thực hiện một yêu cầu trong trình duyệt của họ để khai thác.

Khuyến nghị

Để khắc phục các lỗ hổng này, Splunk khuyến nghị:

  • Cập nhật: Nâng cấp Splunk Enterprise lên phiên bản 9.4.0, 9.3.3, 9.2.5 hoặc 9.1.8 hoặc mới hơn.
  • Cloud Platform: Đối với người dùng Splunk Cloud Platform, Splunk đang theo dõi và vá các trường hợp.
  • Biện pháp tạm thời: Đối với lỗ hổng ứng dụng Splunk Secure Gateway, người dùng có thể tạm thời vô hiệu hóa ứng dụng nếu không sử dụng.

Hướng dẫn thực tế

  1. Xác định các hệ thống bị ảnh hưởng: Xác định xem các instance Splunk Enterprise hoặc Cloud Platform của bạn có bị ảnh hưởng bởi các lỗ hổng này hay không.
  2. Áp dụng các bản vá: Ngay lập tức áp dụng các bản vá được khuyến nghị để ngăn chặn việc khai thác.
  3. Xem xét quyền truy cập: Xem xét lại kiểm soát truy cập và vai trò người dùng, đặc biệt là với những người dùng có quyền thấp có thể hoạt động vượt quá giới hạn dự kiến.
  4. Theo dõi các dấu hiệu khai thác: Liên tục theo dõi các dấu hiệu khai thác và triển khai các biện pháp bảo mật bổ sung nếu cần thiết.

Bằng cách thực hiện các bước này, bạn có thể giảm thiểu rủi ro liên quan đến các lỗ hổng này và đảm bảo an ninh cho các môi trường Splunk của bạn.

Tags