Global Preloader
Vulnerabilidad
(04/Apr/2017) Robo de información en parches Splunk y defectos en XSS

Robo de información en parches Splunk y defectos en XSS

Splunk lanzó la semana pasada una actualización para Splunk Enterprise para solucionar un error de robo de información y una vulnerabilidad persistente de Cross Site Scripting (XSS).

Descubierto el año pasado por el investigador de seguridad John Page (quien maneja el hip3rlinx en línea), el problema de robo de información se registra como CVE-2017-5607 y se ha evaluado un CVSS Base Score de 3.5. La vulnerabilidad puede ser explotada por un atacante remoto para sifonar información de Splunk Enterprise cuando el usuario visita una página web malintencionada.

En un aviso, el investigador de seguridad señala que un atacante que explote esta vulnerabilidad podría acceder a datos como el nombre de usuario actualmente registrado y si la configuración de usuario remoto está habilitada. Con el nombre de usuario en la mano, el atacante podría por medio de fuerza bruta vulnerar el inicio de sesión de Splunk Enterprise.

El atacante puede usar JavaScript para explotar el problema, ya que la causa raíz de él es la asignación de variable global de la ventana JS de config? Autoload = 1 '$ C', señala el investigador de seguridad en su aviso.

"Para robar información simplemente podemos definir una función que se llamará cuando la propiedad '$ C' JS está 'set' en la página web, por ejemplo.

Object.defineProperty (Object.prototype, "$ C", {set: function (val) {...

Splunk ha confirmado que las versiones afectadas de Splunk Enterprise incluyen 6.5.x antes de 6.5.3; 6.4.x antes de 6.4.6; 6.3.x antes de 6.3.10; 6.2.x antes 6.2.13.1; 6.1.x antes de 6.1.13; 6.0.x antes de 6.0.14; 5.0.x antes de 5.0.18; Y la luz Splunk antes de 6.5.2.

El investigador de seguridad descubrió el error en noviembre de 2016 y lo reportó a Splunk el mismo mes. Recibió el reconocimiento del error un par de días después, pero el parche fue lanzado sólo la semana pasada. El investigador publicó no sólo detalles relacionados con la vulnerabilidad, sino también un código JavaScript de prueba de concepto y un video para demostrar la falla.

La segunda vulnerabilidad tratada en Splunk Enterprise la semana pasada fue un persistente Cross Site Scripting en Splunk Web, que permitió a un atacante inyectar y almacenar scripts arbitrarios, pero sólo si se autentican en la web Splunk antes de explotar el error. Evaluado con una puntuación de base CVSS de 6.6, la falla afecta a las versiones de Splunk Enterprise 6.5.x antes de 6.5.3; 6.4.x antes de 6.4.6; 6.3.x antes del 6.3.10; 6.2.x antes de 6.2.13; Y la luz Splunk antes de 6.5.2.