Splunk Universal Forwarder for Windows 漏洞授予非管理员用户完全内容访问权限
Splunk Universal Forwarder for Windows 漏洞授予非管理员用户完全内容访问权限
网安百色 2025-06-04 11:30
已针对 Splunk Universal Forwarder for Windows 发布了关键安全公告 (SVD-2025-0602),解决了一个高严重性漏洞 (CVE-2025-20298),该漏洞使 Windows 系统面临潜在的权限提升。
该漏洞在 CVSSv3.1 等级 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H) 中被评为 8.0(高),影响 Universal Forwarder 9.4.2、9.3.4、9.2.6 和 9.1.9 以下的安装和升级。
该漏洞是由于 Universal Forwarder 安装目录中的权限分配不正确而引起的,默认情况下为 .C:\Program Files\SplunkUniversalForwarder
受影响计算机上的非管理员用户可以访问并可能修改所有目录内容,这些内容可能被用于本地权限提升或破坏敏感日志数据。
权限分配和利用向量
此问题分类为 CWE-732:关键资源的权限分配不正确。
在安装或升级过程中,Universal Forwarder 设置了过于宽松的权限,允许 Administrators 组以外的用户访问、修改或替换目录中的文件。
这种错误配置可能会导致多种风险,包括:
– 未经授权修改可执行文件或配置
-
替换服务二进制文件,可能导致以提升的权限执行任意代码
-
敏感日志数据泄露或篡改
问题严格存在于本地;如果没有有效的凭据和对受影响计算机的访问权限,则无法进行远程利用。
截至最新更新,尚未在野外观察到利用此漏洞的恶意软件。
技术示例:权限审计
管理员可以使用以下命令审核目录权限:
icacls "C:\Program Files\SplunkUniversalForwarder"
如果向非管理员组授予 (完全控制) 或 (修改) 等权限(例如,或系统易受攻击。(F)(M)BUILTIN\UsersEveryone
受影响的版本、缓解措施和补救
下表总结了受影响的版本和已修复的版本:
|
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
解决方案:
如上所述,将 Universal Forwarder for Windows 升级到相应的固定版本或更高版本。
缓解措施(如果无法立即升级):
管理员应从安装目录中手动删除过多的权限。
以系统管理员身份执行以下命令。
icacls.exe "<path\to\installation\directory>" /remove:g *BU /C
此命令删除 () 的组权限,将访问权限限制为仅授权管理员。BUILTIN\Users*BU
在以下情况下应用此缓解措施:
– 在重新安装受影响版本后立即
-
升级到受影响的版本后
-
卸载并重新安装受影响的版本后
安全最佳实践和后续步骤
Splunk 建议始终运行最新的 Universal Forwarder 版本,并在安装或升级后定期审核目录权限。
管理员应确保只有受信任的帐户(例如 SYSTEM )才能完全控制安装目录,并在供应商更新可用时及时应用它们。Administrators
无法立即升级的组织应实施提供的缓解措施以减少风险,监控系统是否存在未经授权的更改,并定期查看用户权限。
引用:
– 公告编号: SVD-2025-0602
-
CVE编号:CVE-2025-20298
-
CWE:CWE-732
-
错误 ID: VULN-27637
有关更多详细信息和持续更新,请咨询官方 Splunk 安全咨询门户。
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
