Splunk製品の脆弱性に注意 CVSSスコアは8.8

Splunkは「Splunk Enterprise」と「Splunk Cloud Platform」に特権昇格の脆弱性が存在すると伝えた。

[後藤大地，有限会社オングス]

　Splunkは2023年6月1日（現地時間）、SIEM（Security Information and Event Management）ソリューション「Splunk Enterprise」および「Splunk Cloud Platform」に特権昇格の脆弱（ぜいじゃく）性が存在すると伝えた。

　該当製品を使用している場合、直ちに内容を確認するとともに迅速にアップデートを適用してほしい。

Splunk EnterpriseとSplunk Cloud Platformに脆弱性が見つかった（出典：SplunkのWebサイト）

CVSSスコア値は8.8　迅速なアップデートの適用を

　今回見つかった脆弱性はCVE-2023-32707として追跡されており、悪用されると権限レベルの低いユーザーが細工したWebリクエストを使うことで特権ユーザーに昇格できるとされている。共通脆弱性評価システム（CVSS）v3.1のスコア値は8.8で、深刻度は「High」（重要）と位置付けられている。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Splunk Enterprise 8.1.0から8.1.13までのバージョン
• Splunk Enterprise 8.2.0から8.2.10までのバージョン
• Splunk Enterprise 9.0.0から9.0.4までのバージョン
• Splunk Cloud Platform 9.0.2303およびこれより前のバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• Splunk Enterprise 8.1.14
• Splunk Enterprise 8.2.11
• Splunk Enterprise 9.0.5
• Splunk Cloud Platform 9.0.2303.100

　特権昇格は「edit_user」機能が割り当てられたロールのユーザーが対象となっている。Splunkによると、edit_user機能が設定ファイル「authorize.conf」の設定項目「grantableRoles」を考慮した処理を行っていなかったことが脆弱性の原因とされている。

　緩和方法や回避方法としては、管理者ユーザーやそれに相当するユーザー以外にedit_user機能を割りてないようにすることが推奨されている。他のロールから継承したロールにedit_user機能が入っていないことや、権限が低いユーザーにedit_user機能を割り当てていないことも確認が求められている。