Splunk đã phát hành các bản cập nhật bảo mật quan trọng cho nền tảng Splunk Enterprise, nhằm khắc phục nhiều lỗ hổng trong các gói bên thứ ba được tích hợp sẵn trên nhiều phiên bản sản phẩm. Các lỗ hổng này có mức độ nghiêm trọng từ thông tin đến nghiêm trọng, ảnh hưởng đến các thành phần thiết yếu của hệ thống, đòi hỏi sự chú ý và hành động khắc phục ngay lập tức từ phía người dùng.
Công ty đã ban hành Cảnh báo SVD-2025-0710 vào ngày 7 tháng 7 năm 2025, khuyến nghị cập nhật ngay lập tức để bảo vệ hệ thống khỏi các rủi ro bảo mật tiềm tàng. Các phiên bản Splunk Enterprise 9.4.3, 9.3.5, 9.2.7 và 9.1.10 đã được phát hành để giải quyết nhiều Common Vulnerabilities and Exposures (CVEs) được tìm thấy trong các gói phần mềm của bên thứ ba. Việc trì hoãn cập nhật có thể khiến các môi trường triển khai Splunk dễ bị tấn công bởi các mối đe dọa đã biết, gây ra những tác động nghiêm trọng đến hoạt động kinh doanh và dữ liệu nhạy cảm.
Tổng quan về các Lỗ hổng được Khắc phục
Bản cập nhật bảo mật này giải quyết các lỗ hổng trong một số thành phần quan trọng, bao gồm thư viện mã hóa golang, gói setuptools, các gói mạng và các tiện ích hệ thống khác. Những lỗ hổng này có khả năng ảnh hưởng đến tính bảo mật của hệ thống Splunk Enterprise, gây ra các rủi ro đáng kể như tiết lộ thông tin, thay đổi dữ liệu trái phép, hoặc thực thi mã từ xa, làm suy yếu khả năng bảo vệ và phân tích dữ liệu của nền tảng.
CVE-2024-45337: Lỗ hổng Nghiêm trọng trong golang.org/x/crypto
Lỗ hổng nghiêm trọng nhất được khắc phục là CVE-2024-45337, được phát hiện trong gói golang.org/x/crypto, một thư viện mật mã được sử dụng rộng rãi trong các ứng dụng Go. Trong ngữ cảnh của Splunk Enterprise, lỗ hổng này ảnh hưởng đến thành phần spl2-orchestrator. Lỗ hổng này được đánh giá ở mức độ nghiêm trọng (critical severity), cho thấy khả năng gây ra tác động nghiêm trọng đến hệ thống nếu bị khai thác thành công.
golang.org/x/crypto là một tập hợp các gói cung cấp các chức năng mật mã học cơ bản và nâng cao, bao gồm các thuật toán mã hóa, hàm băm, giao thức bắt tay mật mã và các công cụ liên quan đến quản lý khóa. Việc một lỗ hổng tồn tại trong thư viện mật mã cốt lõi này có thể dẫn đến các vấn đề nghiêm trọng về bảo mật thông tin như:
- Vi phạm tính bảo mật (Confidentiality): Kẻ tấn công có thể giải mã hoặc truy cập trái phép vào dữ liệu nhạy cảm được bảo vệ bởi các chức năng mật mã bị lỗi, dẫn đến rò rỉ thông tin mật.
- Vi phạm tính toàn vẹn (Integrity): Dữ liệu có thể bị sửa đổi mà không bị phát hiện do các kiểm tra toàn vẹn dựa trên mật mã bị phá vỡ, làm sai lệch kết quả phân tích hoặc lưu trữ.
- Vi phạm tính xác thực (Authentication): Kẻ tấn công có thể giả mạo danh tính hoặc vượt qua các cơ chế xác thực nếu các thuật toán xác thực bị lỗi hoặc bị yếu đi, cho phép truy cập trái phép vào hệ thống.
Thành phần spl2-orchestrator, là một phần cốt lõi của kiến trúc Splunk Enterprise, chịu trách nhiệm điều phối và quản lý các tác vụ, luồng dữ liệu, và giao tiếp nội bộ an toàn giữa các thành phần khác nhau của nền tảng. Nếu các giao tiếp hoặc dữ liệu mà spl2-orchestrator xử lý dựa vào thư viện golang.org/x/crypto bị lỗi, một kẻ tấn công có thể khai thác lỗ hổng để thực hiện các hành vi độc hại, như thực thi mã từ xa (Remote Code Execution – RCE) hoặc truy cập vào các tài nguyên đặc quyền, từ đó kiểm soát toàn bộ môi trường Splunk hoặc trích xuất dữ liệu.
Các vấn đề bảo mật khác trong Golang
Ngoài CVE-2024-45337, bản cập nhật còn giải quyết nhiều vấn đề nghiêm trọng khác trong các thành phần Golang, đặc biệt là các thư viện mật mã và mạng. Các lỗ hổng này đặt ra rủi ro đáng kể đối với các triển khai doanh nghiệp đang chạy các phiên bản Splunk Enterprise bị ảnh hưởng. Các thư viện mật mã Golang đã nhận được các bản cập nhật đáng kể, với các gói crypto được nâng cấp lên các phiên bản 0.36.0 và 0.37.0, trong khi các thành phần mạng được cập nhật lên các phiên bản 0.37.0 và 0.39.0.
Các thư viện mạng trong Golang đóng vai trò cốt yếu trong việc thiết lập và duy trì các kết nối an toàn, truyền tải dữ liệu giữa các máy chủ Splunk, và giao tiếp với các nguồn dữ liệu bên ngoài. Một lỗ hổng trong các gói này có thể dẫn đến nhiều hình thức tấn công khác nhau:
- Tấn công từ chối dịch vụ (DoS): Kẻ tấn công có thể làm quá tải hoặc làm sập các dịch vụ mạng của Splunk, làm gián đoạn hoạt động và khả năng giám sát.
- Đánh cắp dữ liệu trong quá trình truyền tải: Mặc dù dữ liệu được mã hóa, các lỗ hổng có thể cho phép nghe lén hoặc sửa đổi dữ liệu nếu giao thức mã hóa bị phá vỡ hoặc triển khai sai.
- Thực thi mã từ xa thông qua các kênh mạng: Trong một số trường hợp, lỗ hổng mạng có thể được sử dụng để tiêm mã độc hoặc thực hiện các lệnh tùy ý trên máy chủ Splunk, tạo điểm truy cập ban đầu cho kẻ tấn công.
CVE-2024-6345: Lỗ hổng trong setuptools
Gói setuptools đã được nâng cấp lên phiên bản 70.0.0 để khắc phục CVE-2024-6345, một lỗ hổng nghiêm trọng được phân loại là high-severity (mức độ nghiêm trọng cao). Lỗ hổng này ảnh hưởng đến các gói Python 3.9. setuptools là một thư viện chuẩn trong hệ sinh thái Python, được sử dụng rộng rãi để xây dựng và phân phối các gói Python. Đối với Splunk Enterprise, nơi Python thường được sử dụng cho các script, ứng dụng, và tích hợp, một lỗ hổng trong setuptools có thể tạo ra một điểm yếu trong chuỗi cung ứng phần mềm hoặc cho phép thực thi mã độc nếu kẻ tấn công có thể kiểm soát các gói được cài đặt hoặc cập nhật.
Rủi ro chính từ lỗ hổng setuptools bao gồm:
- Thực thi mã tùy ý: Nếu một kẻ tấn công có thể kiểm soát quy trình cài đặt hoặc cập nhật gói thông qua setuptools, họ có thể tiêm và thực thi mã độc trên hệ thống Splunk với các đặc quyền của tiến trình cài đặt.
- Leo thang đặc quyền: Mã độc được thực thi có thể được sử dụng để giành quyền truy cập cao hơn vào hệ thống hoặc mạng nội bộ.
- Ảnh hưởng đến tính toàn vẹn của phần mềm: Kẻ tấn công có thể sửa đổi các gói Python hợp pháp, dẫn đến hành vi không mong muốn hoặc độc hại, làm suy yếu độ tin cậy của các công cụ và ứng dụng Splunk.
Tác động và Khuyến nghị Cập nhật
Sự hiện diện của các lỗ hổng có mức độ nghiêm trọng từ cao đến nghiêm trọng, đặc biệt là trong các thành phần mật mã và mạng, làm cho các bản cập nhật này trở nên vô cùng cần thiết. Các lỗ hổng này có thể ảnh hưởng nghiêm trọng đến khả năng xử lý dữ liệu nhạy cảm của Splunk Enterprise, cũng như tính toàn vẹn và khả năng hoạt động của toàn bộ nền tảng, tạo ra các kẽ hở cho các cuộc tấn công mạng.
Các tổ chức đang sử dụng các phiên bản Splunk Enterprise bị ảnh hưởng được khuyến nghị ưu tiên cập nhật lên các phiên bản đã được vá lỗi mới nhất ngay lập tức. Việc bỏ qua các bản cập nhật này có thể khiến hệ thống dễ bị tấn công bởi các mối đe dọa đã biết và có thể bị khai thác trong tương lai, gây ra thiệt hại đáng kể về dữ liệu, danh tiếng và tài chính.
Quá trình cập nhật Splunk Enterprise thường bao gồm việc tải xuống các gói cài đặt mới và thực hiện quy trình nâng cấp theo hướng dẫn chi tiết được cung cấp bởi Splunk. Trước khi tiến hành cập nhật trên môi trường sản xuất, luôn khuyến nghị thực hiện sao lưu toàn bộ dữ liệu và cấu hình, đồng thời kiểm tra bản cập nhật trên môi trường thử nghiệm để đảm bảo tính tương thích và ổn định, tránh các sự cố không mong muốn.
Để kiểm tra phiên bản Splunk Enterprise hiện tại của bạn, bạn có thể sử dụng lệnh CLI sau:
splunk version
Lệnh này sẽ hiển thị thông tin về phiên bản Splunk đang chạy, giúp xác định xem hệ thống của bạn có nằm trong diện cần cập nhật theo cảnh báo SVD-2025-0710 hay không.
Việc duy trì một chính sách cập nhật bảo mật chủ động là yếu tố then chốt để bảo vệ dữ liệu nhạy cảm, duy trì tính liên tục của hoạt động, và đảm bảo tuân thủ các quy định bảo mật. Các bản vá này không chỉ giải quyết các lỗ hổng đã biết mà còn tăng cường khả năng phục hồi tổng thể của Splunk Enterprise trước các mối đe dọa mạng ngày càng tinh vi và đa dạng. Để đảm bảo rằng hệ thống Splunk Enterprise của bạn luôn được bảo vệ tối ưu, hãy thường xuyên kiểm tra các cảnh báo bảo mật và khuyến nghị từ Splunk, cũng như theo dõi các nguồn thông tin an ninh mạng uy tín.
