Splunk LPE and Persistence
Αν αριθμείτε μια μηχανή εσωτερικά ή εξωτερικά και βρείτε το Splunk να τρέχει (θύρα 8090), αν τυχαίνει να γνωρίζετε οποιαδήποτε έγκυρα διαπιστευτήρια μπορείτε να καταχραστείτε την υπηρεσία Splunk για να εκτελέσετε ένα shell ως ο χρήστης που τρέχει το Splunk. Αν το τρέχει ο root, μπορείτε να αναβαθμίσετε τα δικαιώματα σε root.
Επίσης, αν είστε ήδη root και η υπηρεσία Splunk δεν ακούει μόνο σε localhost, μπορείτε να κλέψετε το αρχείο κωδικών από την υπηρεσία Splunk και να σπάσετε τους κωδικούς, ή να προσθέσετε νέα διαπιστευτήρια σε αυτό. Και να διατηρήσετε την επιμονή στον host.
Στην πρώτη εικόνα παρακάτω μπορείτε να δείτε πώς φαίνεται μια σελίδα web του Splunkd.
Splunk Universal Forwarder Agent Exploit Summary
Για περισσότερες λεπτομέρειες ελέγξτε την ανάρτηση https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Αυτό είναι απλώς μια σύνοψη:
Exploit Overview: Μια εκμετάλλευση που στοχεύει τον Splunk Universal Forwarder Agent (UF) επιτρέπει στους επιτιθέμενους με τον κωδικό του agent να εκτελούν αυθαίρετο κώδικα σε συστήματα που τρέχουν τον agent, ενδεχομένως να διακυβεύσουν ολόκληρο το δίκτυο.
Key Points:
Ο agent UF δεν επικυρώνει τις εισερχόμενες συνδέσεις ή την αυθεντικότητα του κώδικα, καθιστώντας τον ευάλωτο σε μη εξουσιοδοτημένη εκτέλεση κώδικα.
Κοινές μέθοδοι απόκτησης κωδικών περιλαμβάνουν την εύρεση τους σε καταλόγους δικτύου, κοινές χρήσεις αρχείων ή εσωτερική τεκμηρίωση.
Η επιτυχής εκμετάλλευση μπορεί να οδηγήσει σε πρόσβαση σε επίπεδο SYSTEM ή root σε διακυβευμένους hosts, εξαγωγή δεδομένων και περαιτέρω διείσδυση στο δίκτυο.
Exploit Execution:
Ο επιτιθέμενος αποκτά τον κωδικό του agent UF.
Χρησιμοποιεί το API του Splunk για να στείλει εντολές ή scripts στους agents.
Πιθανές ενέργειες περιλαμβάνουν εξαγωγή αρχείων, χειρισμό λογαριασμών χρηστών και διακυβέρνηση συστήματος.
Impact:
Πλήρης διακυβέρνηση του δικτύου με δικαιώματα SYSTEM/root σε κάθε host.
Πιθανότητα απενεργοποίησης της καταγραφής για να αποφευχθεί η ανίχνευση.
Εγκατάσταση backdoors ή ransomware.
Example Command for Exploitation:
Χρήσιμα δημόσια exploits:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Κατάχρηση Ερωτημάτων Splunk
Για περισσότερες λεπτομέρειες ελέγξτε την ανάρτηση https://blog.hrncirik.net/cve-2023-46214-analysis
Last updated