Splunk LPE and Persistence
Wenn Sie eine Maschine intern oder extern enumerieren und Splunk läuft (Port 8090), können Sie, wenn Sie glücklicherweise gültige Anmeldeinformationen kennen, den Splunk-Dienst missbrauchen, um eine Shell als der Benutzer auszuführen, der Splunk ausführt. Wenn root ausgeführt wird, können Sie die Berechtigungen auf root-Ebene eskalieren.
Wenn Sie bereits root sind und der Splunk-Dienst nicht nur auf localhost lauscht, können Sie die Passwortdatei vom Splunk-Dienst stehlen und die Passwörter knacken oder neue Anmeldeinformationen hinzufügen. Und die Persistenz auf dem Host aufrechterhalten.
Im ersten Bild unten sehen Sie, wie eine Splunkd-Webseite aussieht.
Zusammenfassung des Splunk Universal Forwarder Agent Exploits
Für weitere Details lesen Sie den Beitrag https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Dies ist nur eine Zusammenfassung:
Exploit-Übersicht: Ein Exploit, der auf den Splunk Universal Forwarder Agent (UF) abzielt, ermöglicht es Angreifern mit dem Agent-Passwort, beliebigen Code auf Systemen auszuführen, auf denen der Agent läuft, und potenziell ein gesamtes Netzwerk zu kompromittieren.
Hauptpunkte:
Der UF-Agent überprüft eingehende Verbindungen oder die Authentizität des Codes nicht, wodurch er anfällig für unbefugte Codeausführung ist.
Gängige Methoden zum Erlangen von Passwörtern umfassen das Auffinden in Netzwerkverzeichnissen, Dateifreigaben oder internen Dokumentationen.
Eine erfolgreiche Ausnutzung kann zu SYSTEM- oder Root-Zugriff auf kompromittierte Hosts, Datenexfiltration und weiterer Netzwerkinfiltration führen.
Exploit-Ausführung:
Angreifer erhält das UF-Agent-Passwort.
Nutzt die Splunk-API, um Befehle oder Skripte an die Agenten zu senden.
Mögliche Aktionen umfassen Dateiextraktion, Manipulation von Benutzerkonten und Systemkompromittierung.
Auswirkungen:
Vollständige Netzwerkkompromittierung mit SYSTEM-/Root-Zugriffsberechtigungen auf jedem Host.
Möglichkeit zur Deaktivierung der Protokollierung zur Vermeidung der Erkennung.
Installation von Hintertüren oder Erpressungssoftware.
Beispielbefehl zur Ausnutzung:
Verwendbare öffentliche Exploits:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Missbrauch von Splunk-Abfragen
Weitere Details finden Sie im Beitrag https://blog.hrncirik.net/cve-2023-46214-analysis
Der CVE-2023-46214 ermöglichte das Hochladen eines beliebigen Skripts nach $SPLUNK_HOME/bin/scripts
und erklärte dann, dass es mit der Suchabfrage |runshellscript script_name.sh
möglich war, das in diesem Verzeichnis gespeicherte Skript auszuführen.
Last updated