Splunk RCE Vulnerability Enables Remote Code Execution via File Upload
- 취약점 개요
- CVE-2025-20229는 Splunk Enterprise 및 Splunk Cloud Platform에 존재하는 고위험도 원격 코드 실행(RCE) 취약점
- 취약점은 CWE-284(부적절한 접근 제어)에 해당하며, 파일 업로드 기능에서 권한 검증이 누락된 것이 원인
- CVSS v3.1 점수는 8.0이며, 벡터는 AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H로, 낮은 권한 사용자도 사용자 상호작용을 통해 원격 공격 가능
- 공격 방식
- $SPLUNK_HOME/var/run/splunk/apptemp 경로로 악성 파일 업로드 가능
- admin 또는 power 역할이 아닌 사용자도 파일 업로드를 통해 원격에서 임의 코드 실행 가능
- 사용자는 정상 기능을 수행하는 것처럼 위장하여 악성 파일을 배포할 수 있으며, 내부 시스템 장악 가능
- 영향받는 제품 및 패치 버전
- Splunk Enterprise
- 9.4: 9.4.0로 업그레이드 필요
- 9.3: 9.3.0 ~ 9.3.2 → 9.3.3으로 패치
- 9.2: 9.2.0 ~ 9.2.4 → 9.2.5로 패치
- 9.1: 9.1.0 ~ 9.1.7 → 9.1.8로 패치
- Splunk Cloud Platform
- 9.3.2408.100 ~ 103 → 104로 패치
- 9.2.2406.100 ~ 107 → 108로 패치
- 9.2.2403.113 미만 → 114로 패치
- 9.1.2312.207 미만 → 208로 패치
- Splunk Enterprise
- 보안 권고
- Splunk Enterprise 사용자
- 운영 중인 버전 확인 후 즉시 해당 버전 이상으로 업그레이드 수행
- 권한 분리 정책 점검 및 비인가 파일 업로드 가능 여부 점검
- SIEM 접근 및 파일 시스템 로그 감사 활성화
- Splunk Cloud 사용자
- 자동 업데이트 일정 확인 및 미적용 시스템에 대해 Splunk 측과 즉시 조율
- 관리자 외 사용자 계정에 대한 파일 접근 권한 점검
- CI/CD 파이프라인 및 App 개발 중 경유되는 업로드 경로 점검
- Splunk Enterprise 사용자
- 결론
- 낮은 권한 사용자도 RCE 가능하므로 내부자 위협 및 공급망 위험까지 확대될 수 있음
- SIEM 시스템은 보안 통제의 핵심이므로 RCE 취약점은 조직 전체 위험으로 직결
- Splunk 기반 탐지 정책 내 업로드 경로 접근 기록 및 프로세스 생성 로그를 연계한 행위 기반 탐지 로직 강화 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Synology Mail Server 취약점으로 인한 원격 시스템 설정 변경 위협 분석 (0) | 2025.05.08 |
|---|---|
| Exim 메일 서버 취약점(CVE-2025-30232) 분석 및 대응 방안 (0) | 2025.05.08 |
| Sitecore, Next.js, DrayTek 취약점 KEV 등재 및 공격 동향 분석 (0) | 2025.05.08 |
| NetApp SnapCenter Server 취약점(CVE-2025-26512) 분석 및 대응 전략 (0) | 2025.05.07 |
| Windows NTLM 자격증명 유출 제로데이 취약점 분석 및 대응 전략 (0) | 2025.05.07 |