Splunk LPE and Persistence
내부 또는 외부에서 기계를 열거하는 경우 (포트 8090에서) Splunk가 실행 중인 경우, 행운이 좋다면 유효한 자격 증명을 알고 있다면 Splunk 서비스를 남용하여 Splunk를 실행하는 사용자로 쉘을 실행할 수 있습니다. root가 실행 중인 경우 권한을 root로 승격할 수 있습니다.
또한 이미 root이고 Splunk 서비스가 localhost만 수신하지 않는 경우 Splunk 서비스에서 비밀번호 파일을 훔칠 수 있으며 비밀번호를 해독하거나 새 자격 증명을 추가할 수 있습니다. 그리고 호스트에 지속성을 유지할 수 있습니다.
첫 번째 이미지에서는 Splunkd 웹 페이지가 어떻게 보이는지 볼 수 있습니다.
Splunk Universal Forwarder Agent Exploit 요약
자세한 내용은 https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/에서 확인하세요. 이것은 요약입니다:
Exploit 개요: Splunk Universal Forwarder Agent (UF)를 대상으로 하는 Exploit은 에이전트 암호를 가진 공격자가 에이전트를 실행 중인 시스템에서 임의의 코드를 실행할 수 있으며, 전체 네트워크를 침해할 수 있습니다.
주요 포인트:
UF 에이전트는 수신 연결 또는 코드의 신뢰성을 검증하지 않으므로 무단 코드 실행에 취약합니다.
일반적인 암호 획득 방법에는 네트워크 디렉터리, 파일 공유 또는 내부 문서에서 찾는 것이 포함됩니다.
성공적인 악용은 감염된 호스트에서 SYSTEM 또는 root 수준의 액세스, 데이터 유출 및 추가적인 네트워크 침투로 이어질 수 있습니다.
Exploit 실행:
공격자가 UF 에이전트 암호를 획득합니다.
Splunk API를 사용하여 에이전트에 명령 또는 스크립트를 전송합니다.
파일 추출, 사용자 계정 조작 및 시스템 침투와 같은 가능한 작업이 포함됩니다.
영향:
각 호스트에서 SYSTEM/root 수준 권한으로 전체 네트워크 침투.
탐지를 피하기 위해 로깅 비활성화 가능성.
백도어 또는 랜섬웨어 설치.
악용을 위한 예시 명령어:
사용 가능한 공개 익스플로잇:
Splunk 쿼리 남용
자세한 내용은 https://blog.hrncirik.net/cve-2023-46214-analysis에서 확인하십시오.
CVE-2023-46214는 임의의 스크립트를 **$SPLUNK_HOME/bin/scripts
**에 업로드할 수 있게 했으며, 그 후 |runshellscript script_name.sh
검색 쿼리를 사용하여 해당 위치에 저장된 스크립트를 실행할 수 있었습니다.
Last updated