Schedule a Strategy Call

Fallas de seguridad en Splunk Enterprise permiten la inyección de código JavaScript no autorizado

Se han detectado múltiples vulnerabilidades críticas en Splunk Enterprise que representan un riesgo significativo para la infraestructura de seguridad y monitoreo de las organizaciones. Estas fallas, que van desde la Ejecución Remota de Código (RCE) hasta la Escalación de Privilegios, afectan componentes clave como la interfaz web, las APIs y los inputs de datos. 

Detalles de las vulnerabilidades en Splunk Enterprise 
  • CVE-2025-20367 (XSS reflejado en dataset.command) 
  • Tipo: Cross-Site Scripting (XSS). 
  • Descripción: Un atacante con bajo privilegio puede inyectar código JavaScript en el parámetro dataset.command. Ese código malicioso se ejecuta en el navegador de otros usuarios que visualicen el contenido, permitiendo robo de cookies, tokens de sesión o redirección a sitios de phishing. 
  • Impacto: Riesgo de robo de credenciales, secuestro de sesiones o movimientos laterales dentro de la plataforma. 

 

  • CVE-2025-20368 (Inyección de payloads en errores e inspecciones de jobs) 
  • Tipo: Inyección en mensajes de error. 
  • Descripción: Un usuario sin privilegios puede manipular la forma en que se muestran los errores o detalles de inspección de trabajos guardados en Splunk. Esto abre la puerta a que se inyecten payloads maliciosos en la interfaz. 
  • Impacto: Puede facilitar ataques de XSS almacenado (los payloads permanecen en el sistema) y usarse para engañar a administradores o usuarios con mayor acceso. 

 

  • CVE-2025-20366 (Divulgación de información por SID) 
  • Tipo: Fuga de información. 
  • Descripción: Usuarios sin permisos de tipo admin o power pueden acceder a los resultados de búsquedas administrativas si logran adivinar el Search ID (SID), que identifica trabajos de búsqueda internos en Splunk. 
  • Impacto: Esto expone información sensible de la infraestructura, incluyendo configuraciones internas, datos críticos de seguridad o registros confidenciales. 

 

  • CVE-2025-20370 (DoS en autenticación LDAP) 
  • Tipo: Denegación de servicio. 
  • Descripción: Un atacante con permisos para cambiar configuraciones de autenticación puede enviar múltiples solicitudes LDAP bind en poco tiempo, lo que consume excesivamente la CPU. 
  • Impacto: Puede dejar inoperante la autenticación, afectar la disponibilidad del sistema Splunk y bloquear temporalmente el acceso de usuarios legítimos. 

 

  • CVE-2025-20369 (XXE en dashboards) 
  • Tipo: Inyección de entidad externa XML (XXE). 
  • Descripción: Al manipular etiquetas en los dashboards, un atacante puede inyectar entidades XML externas que provoquen una denegación de servicio o, en casos más graves, acceso a archivos internos. 
  • Impacto: Puede causar interrupción del servicio o servir como escalón para obtener información sensible de la máquina que ejecuta Splunk. 
¿Por Qué Splunk es un Blanco Tan Atractivo? 

La criticidad de estas fallas se magnifica por el rol central que Splunk desempeña en la operación de seguridad: 

  • Punto de Control Central: Comprometer Splunk puede darle al atacante acceso al “cuadro de mando” completo de logs y monitoreo, facilitando la manipulación de evidencia o el borrado de rastros. 
  • Vector de Integración: Las fallas abarcan también los forwarders o agentes que envían datos, permitiendo ataques indirectos. El riesgo también se extiende a módulos de terceros (apps de Splunk) que no siempre están tan auditados como el núcleo del software. 
  • Desactualización Común: Muchas organizaciones omiten las actualizaciones regulares por miedo a romper dashboards o integraciones, dejando sistemas vulnerables a exploits conocidos. 
 Recomendaciones
  1. Actualizar Splunk y Componentes
  • Aplicar Parches: Aplicar inmediatamente los parches de firmware que corrigen todas las vulnerabilidades descubiertas. 
  • Cobertura Total: Asegurarse de que todas las instancias (servidores centrales, indexers y forwarders) estén en versiones seguras y que los módulos de terceros (aplicaciones) también estén actualizados. 
  1. Implementar Controles de Acceso Estrictos
  • Principio de Menor Privilegio: Limitar el acceso al sistema Splunk con permisos elevados solo al personal esencial. 
  • Autenticación Fuerte: Usar Autenticación Multifactor (MFA) para todas las cuentas administrativas y, si es posible, para las cuentas con acceso a datos sensibles. 
  1. Sanitización y Filtrado de Datos
  • Validación de Inputs: Configurar el sistema para que todos los inputs de datos (logs, scripts, campos externos) sean validados y sanitizados antes de que Splunk los procese. 
  • Restricción de Comandos: No permitir que scripts arbitrarios o comandos se inyecten en los datos de logs o metadatos sin filtros rigurosos. 
  1. Monitoreo Activo y Auditoría
  • Detección de Anomalías: Configurar alertas que detecten cuando Splunk inicie la ejecución de comandos inusuales del sistema operativo o muestre un comportamiento errático. 
  • Auditoría Interna: Revisar frecuentemente los registros administrativos (audit logs) en busca de cambios en configuraciones, instalaciones de aplicaciones o búsquedas inusuales, que podrían indicar un compromiso. 

 

Back to all Post

Related Post