一、漏洞概述

1、简介

Splunk Universal Forwarder[1](通用转发器)从数据源或另一转发器收集数据并将其发送到一个转发器或一个 Splunk 的部署。通用转发器可以将数据发送到 Splunk Enterprise，Splunk Light 或 Splunk Cloud，它还取代了 Splunk Enterprise 轻型转发器，并可作为单独的安装包。

2018 年 2 月 27 日 ，@airman604 在 博 文 [2] 中 称 ，Splunk Universal Forwarder 包含一个侦听TCP 端口 8089 的管理服务，用于管理转发器。默认情况 下，它接受远程连接，但不允许使用默认凭据（admin/changeme）进行远程连接。漏洞可以通过以下方式使用：

• 如果未更改默认密码，则可以本地提权到 forwarder的运行权限。
• 如果默认密码已更改但是知道登陆凭据，则执行远程命令（具有运行转发器的权限）。

2019 年 2 月 25 日，Clément Notin 在@airman604 基础上，在博文[3]中发布了不会更改配置、侵入性较小的工具。

2019 年 2 月 27 日，Seebug 平台收录了该漏洞，知道创宇 404 漏洞应急团队开始对该漏洞进行漏洞应急[4]。

2、影响版本

• Splunk UF 7.1.3、Splunk UF 7.2.4

二、漏洞复现

1、复现环境

• Windows10(.NET<4.5)
• Splunkforwarder-7.1.3-51d9cac7b837-x64-release
• 安装Splunk设置的管理员账号：admin/admin888

2、复现过程及结果

1、本地权限提升

2、远程代码执行

三、漏洞影响

根据 ZoomEye 网络空间搜索引擎对 "Server: Splunkd" 服务的搜索结果[6]，共找到36,098 条历史记录

 

四、防护方案

1、以下两种方式可以减小漏洞影响：

• 使用splunkbase[7]中的“UF密码更换器”应用程序在所有通用转发器上设置随机管理员密码。
• 通过将以下内容添加到$SPLUNK_HOME/etc/system/local/system.conf来禁用转发器上的管理网络端口。

 

2、技术业务咨询

    知道创宇技术业务咨询热线 :

    400-060-9587(政府，国有企业)、028-68360638(互联网企业)