พบช่องโหว่ใน SAML ใน Splunk Enterprise ทำให้ Attacker สามารถเข้าระบบด้วยสิทธิ์ของใครก็ได้
Splunk เป็นทั้ง Log Searcher และ SIEM ชั้นนำของโลก ซึ่งถูกใช้ในองค์กรใหญ่ๆมากมายทั่วโลก ล่าสุดพบช่องโหว่ที่ทำให้ Hacker สามารถที่จะเข้าใช้งานเป็นใครก็ได้ในระบบ ซึ่งอาจทำให้ข้อมูลความลับบริษัทรั่วไหลได้
SAML (Security Assertion Markup Language) คือมาตรฐาน XML ตัวหนึ่งที่ทำให้ผู้เข้าใช้งานระบบสามารถเข้าใช้งานเว็บไซด์ในเครือข่ายเดียวกันได้โดยการ authentication แค่ครั้งเดียว(ประมาณ Single-Sign On) ซึ่งตัว Splunk ก็รองรับ feature นี้เช่นกัน โดยล่าสุดพบว่า module SAML ของ Splunk กลับมีช่องโหว่หลายอย่าง ทำให้ Attacker ไม่จำเป็นต้อง Authentication แต่เข้าใช้งานระบบ Splunk ที่มีการใช้งานเปิดใช้ SAML ไว้ได้เลย โดยสามารถปลอมเป็นใครก็ได้, role ไหนก็ได้
วิธีการตรวจสอบว่า enable SAML Authentication ไว้หรือไม่
|
1 2 3 4 5 6 |
หากเป็นใน Linux ใช้คำสั่งเป็น $SPLUNK_HOME/bin/splunk btool authentication list | grep authType หากเป็นใน Windows ใช้คำสั่งเป็น $SPLUNK_HOME\bin\splunk btool authentication list | find "authType" หากมีการแสดง SAML ออกมา แสดงว่ามีการ enable SAML ไว้ |
ล่าสุดทาง Splunk ได้ออก update แก้ไขเพื่ออุดช่องโหว่ดังกล่าวแล้วครับ
ผลกระทบ: Unauthorised Access
ระบบที่ได้รับผลกระทบ: Splunk Enterprise versions 7.0.x ก่อน 7.0.0.1, 6.6.x ก่อน 6.6.3.2/6.6.4, 6.5.x ก่อน 6.5.6, 6.4.x ก่อน 6.4.9, 6.3.x ก่อน 6.3.12 ที่มีการ enable SAML Authentication ไว้
วิธีการแก้ไข: Update Splunk เป็น 7.0.0.1, 6.6.3.2/6.6.4, 6.5.6, 6.4.9, 6.3.12 หรือทำการปิดการใช้งาน SAML authentication
Source:: Splunk
You May also Like
LINE@Techsuii.com
