Splunk LPE and Persistence
यदि आप किसी मशीन को आंतरिक या बाह्य रूप से जाँचते समय Splunk चल रहा है (पोर्ट 8090), और यदि आपके पास किसी वैध क्रेडेंशियल्स का ज्ञान है, तो आप Splunk सेवा का दुरुपयोग करके उस उपयोगकर्ता के रूप में एक शैल को चला सकते हैं जो Splunk चला रहा है। यदि यह root द्वारा चलाया जा रहा है, तो आप विशेषाधिकारों को root के रूप में उन्नत कर सकते हैं।
इसके अलावा, यदि आप पहले से ही root हैं और Splunk सेवा केवल localhost पर सुन रही नहीं है, तो आप Splunk सेवा से पासवर्ड फ़ाइल चुरा सकते हैं और पासवर्ड क्रैक कर सकते हैं, या उसमें नए क्रेडेंशियल्स जोड़ सकते हैं। और मेजबान पर स्थिरता बनाए रख सकते हैं।
पहली छवि में नीचे आप देख सकते हैं कि एक Splunkd वेब पृष्ठ कैसा दिखता है।
स्प्लंक यूनिवर्सल फॉरवर्डर एजेंट शोषण सारांश
अधिक विवरण के लिए पोस्ट देखें https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/
शोषण अवलोकन: Splunk यूनिवर्सल फॉरवर्डर एजेंट (UF) को लक्षित करने वाला एक शोषण अटैक अटैकर्स को एजेंट पासवर्ड के साथ सिस्टम पर विचित्र कोड को निषेधित करने की अनुमति देता है, जिससे पूरी नेटवर्क को कंप्रमाइज किया जा सकता है।
मुख्य बिंदु:
UF एजेंट आने वाली कनेक्शनों या कोड की प्रामाणिकता की पुष्टि नहीं करता है, जिससे अनधिकृत कोड निषेध करने के लिए विकल्पशील हो जाता है।
सामान्य पासवर्ड प्राप्ति विधियों में उन्हें नेटवर्क निर्देशिकाओं, फ़ाइल साझाकरण या आंतरिक प्रलेखन में ढूंढना शामिल है।
सफल शोषण संक्रमित होस्ट पर SYSTEM या रूट स्तर की पहुंच, डेटा निकासीकरण और आगे की नेटवर्क घुसपैठ की ओर ले जा सकता है।
शोषण क्रियान्वयन:
हमलावर UF एजेंट पासवर्ड प्राप्त करता है।
एजेंट्स को कमांड या स्क्रिप्ट भेजने के लिए Splunk API का उपयोग करता है।
संभावित क्रियाएँ फ़ाइल निकासी, उपयोगकर्ता खाता प्रबंधन और सिस्टम कंप्रमाइज शामिल हैं।
प्रभाव:
प्रत्येक होस्ट पर SYSTEM/root स्तर की अनुमतियों के साथ पूरी नेटवर्क कंप्रमाइज।
पकड़ने से बचने के लिए लॉगिंग को निषेधित करने की संभावना।
बैकडोअर्स या रैंसमवेयर की स्थापना।
शोषण के लिए उदाहरण कमांड:
Splunk LPE और Persistence
उपयोगी सार्वजनिक उत्पाद:
Splunk क्वेरी का दुरुपयोग
अधिक विवरण के लिए पोस्ट देखें https://blog.hrncirik.net/cve-2023-46214-analysis
CVE-2023-46214 ने $SPLUNK_HOME/bin/scripts
में एक विचित्र स्क्रिप्ट अपलोड करने की अनुमति दी और फिर बताया कि खोज क्वेरी |runshellscript script_name.sh
का उपयोग करके वहाँ संग्रहित स्क्रिप्ट को क्रियान्वित करना संभव था।
Last updated