Le fournisseur de surveillance et de recherche de données Splunk a corrigé une vulnérabilité d’exécution de code dans son serveur de déploiement Splunk Enterprise et promet – tardivement, selon certains – de le rétroporter vers des versions antérieures.

Les serveurs de déploiement sont utilisés pour distribuer les configurations et les mises à jour de contenu aux instances d’entreprise telles que les redirecteurs, les indexeurs et les têtes de recherche.

Cependant, une vulnérabilité de gravité critique, CVE-2022-32158signifiait que les versions antérieures à 9.0 permettaient aux clients de tirer parti du serveur pour déployer des bundles de redirecteurs vers d’autres clients.

Un attaquant qui avait compromis ou avait accès à un seul redirecteur universel dans un environnement pourrait alors exécuter du code arbitraire sur tous les autres terminaux Universal Forwarder (UF) au sein de cette organisation.

Nick Heudecker, directeur principal, stratégie de marché et veille concurrentielle chez Cribl, a déclaré : « Il n’est pas rare que les utilisateurs de Splunk aient des milliers ou des dizaines de milliers d’UF déployés sur leur infrastructure, ce qui en fait une vulnérabilité hautement prioritaire. »

Splunk a déclaré qu’il n’y avait aucune preuve que la vulnérabilité ait été exploitée dans la nature et que la plate-forme Splunk Cloud (SCP) n’est pas affectée car elle n’offre ni n’utilise de serveurs de déploiement.

« Splunk a publié des versions corrigées pour les produits concernés qui atténuent les problèmes, et nous encourageons fortement les clients à effectuer une mise à niveau dès que possible », a-t-il déclaré dans un communiqué.

La vulnérabilité affecte tous les serveurs de déploiement Splunk Enterprise antérieurs à la version 9.0 – et il n’existe actuellement aucun correctif ou solution de contournement autre que la mise à jour vers cette version, publiée uniquement le 14 juin. Avec les correctifs, les utilisateurs auraient besoin de restreindre l’accès au serveur de déploiement, en le lançant uniquement pour pousser les mises à jour de configuration.

Sous la pression de la communauté, Splunk a maintenant déclaré qu’il prévoyait de rétroporter le correctif vers des versions antérieures, bien qu’il n’y ait aucune indication quant à la date.

« Bien que la vulnérabilité soit un problème, la façon dont Splunk a choisi de la gérer est ce qui a bouleversé les utilisateurs et la communauté de Splunk », selon Heudecker. « Les vulnérabilités se produisent. La façon dont une entreprise y réagit peut créer ou détruire la bonne volonté. »