Splunk LPE and Persistence
Εάν κατά την απαρίθμηση ενός μηχανήματος εσωτερικά ή εξωτερικά ανακαλύψετε ότι τρέχει Splunk (θύρα 8090), εάν τυχαία γνωρίζετε οποιαδήποτε έγκυρα διαπιστευτήρια, μπορείτε να καταχραστείτε την υπηρεσία Splunk για να εκτελέσετε ένα κέλυφος ως ο χρήστης που εκτελεί το Splunk. Εάν το root το εκτελεί, μπορείτε να αναβαθμίσετε τα δικαιώματα σε root.
Επίσης, εάν είστε ήδη root και η υπηρεσία Splunk δεν ακούει μόνο στο localhost, μπορείτε να κλέψετε το αρχείο κωδικών πρόσβασης από την υπηρεσία Splunk και να αποκρυπτογραφήσετε τους κωδικούς πρόσβασης ή να προσθέσετε νέα διαπιστευτήρια σε αυτό. Και να διατηρήσετε τη μόνιμη παραμονή στον υπολογιστή.
Στην πρώτη εικόνα παρακάτω μπορείτε να δείτε πώς φαίνεται μια ιστοσελίδα Splunkd.
Εκμετάλλευση Πράκτορα Splunk Universal Forwarder
Για περισσότερες λεπτομέρειες, ανατρέξτε στην ανάρτηση https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Αυτό είναι απλώς ένα σύνοψη:
Επισκόπηση Εκμετάλλευσης: Μια εκμετάλλευση που στοχεύει τον πράκτορα Splunk Universal Forwarder (UF) επιτρέπει σε επιτιθέμενους με τον κωδικό πράκτορα να εκτελούν αυθαίρετο κώδικα σε συστήματα που εκτελούν τον πράκτορα, πιθανώς διακινδυνεύοντας ολόκληρο το δίκτυο.
Κύρια Σημεία:
Ο πράκτορας UF δεν επικυρώνει τις εισερχόμενες συνδέσεις ή την αυθεντικότητα του κώδικα, καθιστώντας τον ευάλωτο σε μη εξουσιοδοτημένη εκτέλεση κώδικα.
Οι κοινές μεθόδοι απόκτησης κωδικών περιλαμβάνουν την εντοπισμό τους σε καταλόγους δικτύου, κοινόχρηστους φακέλους ή εσωτερική τεκμηρίωση.
Η επιτυχής εκμετάλλευση μπορεί να οδηγήσει σε πρόσβαση σε επίπεδο SYSTEM ή root σε παραβιασμένους υπολογιστές, διαρροή δεδομένων και περαιτέρω διείσδυση στο δίκτυο.
Εκτέλεση Εκμετάλλευσης:
Ο επιτιθέμενος αποκτά τον κωδικό πράκτορα UF.
Χρησιμοποιεί το API του Splunk για να στείλει εντολές ή σενάρια στους πράκτορες.
Οι πιθανές ενέργειες περιλαμβάνουν εξαγωγή αρχείων, διαχείριση λογαριασμών χρηστών και παραβίαση του συστήματος.
Επίδραση:
Πλήρης παραβίαση του δικτύου με δικαιώματα επιπέδου SYSTEM/root σε κάθε υπολογιστή.
Δυνατότητα απενεργοποίησης της καταγραφής για να αποφευχθεί η ανίχνευση.
Εγκατάσταση πίσω πόρτας ή κρυπτογραφικού ιού.
Παράδειγμα Εντολής για Εκμετάλλευση:
Χρησιμοποιήσιμες δημόσιες εκμεταλλεύσεις:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Κατάχρηση ερωτημάτων Splunk
Για περισσότερες λεπτομέρειες, ανατρέξτε στην ανάρτηση https://blog.hrncirik.net/cve-2023-46214-analysis
Το CVE-2023-46214 επέτρεπε το ανέβασμα ενός αυθαίρετου σεναρίου στο $SPLUNK_HOME/bin/scripts
και στη συνέχεια εξηγούσε ότι χρησιμοποιώντας το ερώτημα αναζήτησης |runshellscript script_name.sh
ήταν δυνατή η εκτέλεση του σεναρίου που είχε αποθηκευτεί εκεί.
Last updated