ช่องโหว่ Splunk บน Windows ทำให้ผู้ใช้ที่ไม่ใช่ Administrator สามารถเข้าถึงไฟล์และโฟลเดอร์สำคัญได้
Splunk Enterprise และ Splunk Universal Forwarder บน Windows ถูกค้นพบช่องโหว่ CVE-2025-20386 และ CVE-2025-20387 โดยมีคะแนนความรุนแรง CVSS 8.0 ซึ่งถือว่าสูงมาก ช่องโหว่นี้เกิดจากการติดตั้งหรืออัปเกรดที่กำหนด Permission ของโฟลเดอร์ผิดพลาด ทำให้ผู้ใช้ทั่วไปสามารถเข้าถึงไฟล์ที่ควรจำกัดสิทธิ์เฉพาะ Administrator ได้
กลไกการโจมตี
เมื่อ Permission ถูกตั้งค่าไม่ถูกต้อง ผู้โจมตีที่มีบัญชีผู้ใช้ระดับต่ำสามารถ:
อ่านไฟล์การตั้งค่าที่มีข้อมูลสำคัญ
เขียนหรือแก้ไขไฟล์ในโฟลเดอร์ Splunk
ฝังไฟล์อันตรายเพื่อให้ระบบรันโดยอัตโนมัติ สิ่งนี้ทำให้การโจมตีง่ายขึ้นมาก เพราะไม่ต้องใช้สิทธิ์สูงตั้งแต่แรก
เวอร์ชันที่ได้รับผลกระทบ
Splunk Enterprise และ Universal Forwarder เวอร์ชันต่ำกว่า:
10.0.2
9.4.6
9.3.8
9.2.10
แนวทางแก้ไข
Splunk ได้ออกแพตช์แก้ไขแล้วในเวอร์ชันข้างต้น ผู้ดูแลระบบควรรีบอัปเดตทันที หากไม่สามารถอัปเดตได้ Splunk แนะนำให้ใช้คำสั่ง icacls.exe เพื่อแก้ไข Permission ด้วยตนเอง เช่น:
ปิด inheritance
ลบสิทธิ์ Built-in Users และ Authenticated Users
เปิด inheritance ใหม่อย่างปลอดภัย
สรุปประเด็นสำคัญ
ข้อมูลจากข่าว
ช่องโหว่ CVE-2025-20386 และ CVE-2025-20387 มีคะแนน CVSS 8.0
เกิดจาก Permission โฟลเดอร์ Splunk บน Windows ที่ตั้งค่าไม่ถูกต้อง
ผู้โจมตีสามารถอ่าน/เขียนไฟล์ และฝังโค้ดอันตรายได้
เวอร์ชันที่ปลอดภัยคือ 10.0.2, 9.4.6, 9.3.8, 9.2.10
คำเตือนจากข่าว
หากไม่อัปเดต ระบบเสี่ยงต่อการถูกยึดครองโดยผู้ใช้ทั่วไป
การปล่อยให้ Permission เปิดกว้างทำให้ไฟล์สำคัญถูกแก้ไขได้
การละเลยการตรวจสอบสิทธิ์ไฟล์อาจเปิดช่องให้ฝัง Backdoor
การใช้เวอร์ชันเก่าต่อไปคือความเสี่ยงต่อความปลอดภัยองค์กร
https://securityonline.info/high-severity-splunk-flaw-allows-local-privilege-escalation-via-incorrect-file-permissions-on-windows/
Splunk Enterprise และ Splunk Universal Forwarder บน Windows ถูกค้นพบช่องโหว่ CVE-2025-20386 และ CVE-2025-20387 โดยมีคะแนนความรุนแรง CVSS 8.0 ซึ่งถือว่าสูงมาก ช่องโหว่นี้เกิดจากการติดตั้งหรืออัปเกรดที่กำหนด Permission ของโฟลเดอร์ผิดพลาด ทำให้ผู้ใช้ทั่วไปสามารถเข้าถึงไฟล์ที่ควรจำกัดสิทธิ์เฉพาะ Administrator ได้
กลไกการโจมตี
เมื่อ Permission ถูกตั้งค่าไม่ถูกต้อง ผู้โจมตีที่มีบัญชีผู้ใช้ระดับต่ำสามารถ:
อ่านไฟล์การตั้งค่าที่มีข้อมูลสำคัญ
เขียนหรือแก้ไขไฟล์ในโฟลเดอร์ Splunk
ฝังไฟล์อันตรายเพื่อให้ระบบรันโดยอัตโนมัติ สิ่งนี้ทำให้การโจมตีง่ายขึ้นมาก เพราะไม่ต้องใช้สิทธิ์สูงตั้งแต่แรก
เวอร์ชันที่ได้รับผลกระทบ
Splunk Enterprise และ Universal Forwarder เวอร์ชันต่ำกว่า:
10.0.2
9.4.6
9.3.8
9.2.10
แนวทางแก้ไข
Splunk ได้ออกแพตช์แก้ไขแล้วในเวอร์ชันข้างต้น ผู้ดูแลระบบควรรีบอัปเดตทันที หากไม่สามารถอัปเดตได้ Splunk แนะนำให้ใช้คำสั่ง icacls.exe เพื่อแก้ไข Permission ด้วยตนเอง เช่น:
ปิด inheritance
ลบสิทธิ์ Built-in Users และ Authenticated Users
เปิด inheritance ใหม่อย่างปลอดภัย
สรุปประเด็นสำคัญ
ข้อมูลจากข่าว
ช่องโหว่ CVE-2025-20386 และ CVE-2025-20387 มีคะแนน CVSS 8.0
เกิดจาก Permission โฟลเดอร์ Splunk บน Windows ที่ตั้งค่าไม่ถูกต้อง
ผู้โจมตีสามารถอ่าน/เขียนไฟล์ และฝังโค้ดอันตรายได้
เวอร์ชันที่ปลอดภัยคือ 10.0.2, 9.4.6, 9.3.8, 9.2.10
คำเตือนจากข่าว
หากไม่อัปเดต ระบบเสี่ยงต่อการถูกยึดครองโดยผู้ใช้ทั่วไป
การปล่อยให้ Permission เปิดกว้างทำให้ไฟล์สำคัญถูกแก้ไขได้
การละเลยการตรวจสอบสิทธิ์ไฟล์อาจเปิดช่องให้ฝัง Backdoor
การใช้เวอร์ชันเก่าต่อไปคือความเสี่ยงต่อความปลอดภัยองค์กร
https://securityonline.info/high-severity-splunk-flaw-allows-local-privilege-escalation-via-incorrect-file-permissions-on-windows/
⚠️ ช่องโหว่ Splunk บน Windows ทำให้ผู้ใช้ที่ไม่ใช่ Administrator สามารถเข้าถึงไฟล์และโฟลเดอร์สำคัญได้
Splunk Enterprise และ Splunk Universal Forwarder บน Windows ถูกค้นพบช่องโหว่ CVE-2025-20386 และ CVE-2025-20387 โดยมีคะแนนความรุนแรง CVSS 8.0 ซึ่งถือว่าสูงมาก ช่องโหว่นี้เกิดจากการติดตั้งหรืออัปเกรดที่กำหนด Permission ของโฟลเดอร์ผิดพลาด ทำให้ผู้ใช้ทั่วไปสามารถเข้าถึงไฟล์ที่ควรจำกัดสิทธิ์เฉพาะ Administrator ได้
🧩 กลไกการโจมตี
เมื่อ Permission ถูกตั้งค่าไม่ถูกต้อง ผู้โจมตีที่มีบัญชีผู้ใช้ระดับต่ำสามารถ:
🐞 อ่านไฟล์การตั้งค่าที่มีข้อมูลสำคัญ
🐞 เขียนหรือแก้ไขไฟล์ในโฟลเดอร์ Splunk
🐞 ฝังไฟล์อันตรายเพื่อให้ระบบรันโดยอัตโนมัติ สิ่งนี้ทำให้การโจมตีง่ายขึ้นมาก เพราะไม่ต้องใช้สิทธิ์สูงตั้งแต่แรก
🔎 เวอร์ชันที่ได้รับผลกระทบ
Splunk Enterprise และ Universal Forwarder เวอร์ชันต่ำกว่า:
🐞 10.0.2
🐞 9.4.6
🐞 9.3.8
🐞 9.2.10
🛡️ แนวทางแก้ไข
Splunk ได้ออกแพตช์แก้ไขแล้วในเวอร์ชันข้างต้น ผู้ดูแลระบบควรรีบอัปเดตทันที หากไม่สามารถอัปเดตได้ Splunk แนะนำให้ใช้คำสั่ง icacls.exe เพื่อแก้ไข Permission ด้วยตนเอง เช่น:
🐞 ปิด inheritance
🐞 ลบสิทธิ์ Built-in Users และ Authenticated Users
🐞 เปิด inheritance ใหม่อย่างปลอดภัย
📌 สรุปประเด็นสำคัญ
✅ ข้อมูลจากข่าว
➡️ ช่องโหว่ CVE-2025-20386 และ CVE-2025-20387 มีคะแนน CVSS 8.0
➡️ เกิดจาก Permission โฟลเดอร์ Splunk บน Windows ที่ตั้งค่าไม่ถูกต้อง
➡️ ผู้โจมตีสามารถอ่าน/เขียนไฟล์ และฝังโค้ดอันตรายได้
➡️ เวอร์ชันที่ปลอดภัยคือ 10.0.2, 9.4.6, 9.3.8, 9.2.10
‼️ คำเตือนจากข่าว
⛔ หากไม่อัปเดต ระบบเสี่ยงต่อการถูกยึดครองโดยผู้ใช้ทั่วไป
⛔ การปล่อยให้ Permission เปิดกว้างทำให้ไฟล์สำคัญถูกแก้ไขได้
⛔ การละเลยการตรวจสอบสิทธิ์ไฟล์อาจเปิดช่องให้ฝัง Backdoor
⛔ การใช้เวอร์ชันเก่าต่อไปคือความเสี่ยงต่อความปลอดภัยองค์กร
https://securityonline.info/high-severity-splunk-flaw-allows-local-privilege-escalation-via-incorrect-file-permissions-on-windows/
0 Comments
0 Shares
5 Views
0 Reviews
Thai