Mehrere Schwachstellen im Splunk Deployment Server veröffentlicht

Für Splunk Enterprise wurden zum 14.06.2022 einige Sicherheitsschwachstellen bekannt gegeben (komplette Liste der Schwachstellen). Diese ermöglichen in Kombination, von einem kompromittierten Universal Forwarder, über den Deployment Server, Apps (und somit auch z.B. Binärdateien) an andere Forwarder ausliefern zu lassen.
Folglich ist die Splunk Cloud Platform hiervon nicht betroffen, da in dieser keine Deploymentserver eingesetzt werden. Entsprechend sind auch Splunk-Enterprise-Umgebungen On-Premise nicht betroffen, sofern sie keinen Deployment-Server nutzen.

Erfreulicherweise ist die Behebung der kritischsten Sicherheitslücken On-Premise unter bestimmten Voraussetzungen vergleichsweise einfach.
Wenn der Deployment-Server als eigenständige Instanz läuft und alle Universal-Forwarder-Clients mindestens in Version 7.0.0 vorliegen (ältere Forwarder werden nicht unterstützt - siehe Doku), ist ein Upgrade des Deployment-Servers auf die aktuellste Version 9.0.0 dringend angeraten. Dies schließt bereits die kritischste Schwachstelle SVD-2022-0608 (Upgrade-Infos). Die weiteren Schwachstellen führen hauptsächlich dazu, dass die Apps, welche der Deployment Server bereitstellt, eingesehen bzw. heruntergeladen werden können und erfordern teils eine Authentifizierung. Sofern also die Apps keine kritischen Daten beinhalten, sind diese weniger kritisch.

Dennoch kann zur weiteren Absicherung TLS Host Name Validation, z.B. für die Python-Module und Splunk-zu-Splunk-Kommunikation, konfiguriert werden (Link zur Splunk-Doku). Darüber hinaus kann die Authentifizierung zwischen Deployment Client und Server konfiguriert werden (Link zur Splunk-Doku). Für all diese Schritte ist ein vorheriger Test empfehlenswert.

Darüber hinaus sollten idealerweise alle Universal-Forwarder unter einem Nutzer mit möglichst minimal benötigten Rechten laufen.

Alternativ zum Upgrade des Deployment Servers auf Version 9.0.0 wird Splunk voraussichtlich einen Patch für die Versionen 8.1 und 8.2  bereitstellen – dies ist aktuell „In Development“ (Ideas-Link). Dann müsste nicht die taufrische 9.0.0-Version für den Deployment Server in produktiven Umgebungen genutzt werden. Dieser Patch ist auch nötig, wenn die Instanz des Deployment-Servers weitere Rollen innehat, beispielsweise auch Deployer eines Searchheadclusters ist, und die anderen Instanzen nicht ebenfalls auf Version 9.0.0 angehoben werden sollen. Allerdings wird durch ihn voraussichtlich nur die kritische Schwachstelle SVD-2022-0608 behoben.

Weiterhin sollte der Deployment-Server hinter einer Firewall platziert werden, welche die Erreichbarkeit weitestmöglich einschränkt. Notfalls kann er auch vorübergehend deaktiviert werden. 

Gern unterstützen wir Sie bei der Behebung der Schwachstellen, dem Upgrade Ihrer Splunk-Umgebung oder bei der Isolation des Deployment-Servers von weiteren Rollen.