Một lỗ hổng CVE nghiêm trọng đã được công bố, ảnh hưởng đến các sản phẩm Splunk Enterprise và Universal Forwarder trên nền tảng Windows. Lỗ hổng này phát sinh từ việc cấu hình sai quyền truy cập tệp trong quá trình cài đặt và nâng cấp, tạo ra một rủi ro bảo mật đáng kể cho các môi trường triển khai Splunk.

Các lỗ hổng được theo dõi với mã định danh CVE-2025-20386 cho Splunk Enterprise và CVE-2025-20387 cho Universal Forwarder. Chúng cho phép người dùng không có quyền quản trị truy cập vào các thư mục cài đặt nhạy cảm và nội dung của chúng, mở đường cho các cuộc tấn công leo thang đặc quyền.

Mô tả Kỹ thuật của Lỗ hổng Cấu hình Quyền

Điểm yếu cốt lõi của lỗ hổng CVE này nằm ở quy trình cài đặt hoặc nâng cấp phiên bản của các sản phẩm Splunk bị ảnh hưởng trên hệ thống Windows.

Cụ thể, quy trình cài đặt gán quyền truy cập không chính xác cho các thư mục cài đặt mặc định.

• Đối với Splunk Enterprise: C:Program FilesSplunk
• Đối với Universal Forwarder: C:Program FilesSplunkUniversalForwarder

Cấu hình sai này cấp cho người dùng cục bộ không có đặc quyền quyền đọc và ghi vào các tệp cấu hình nhạy cảm. Điều này cực kỳ nguy hiểm vì các tệp thực thi nhị phân và các thành phần quan trọng khác cần được giới hạn quyền truy cập chỉ cho quản trị viên.

Khả năng ghi đè hoặc sửa đổi các tệp này bởi người dùng không có đặc quyền tạo ra một vectơ tấn công trực tiếp để thực hiện các hành động độc hại. Đây là một lỗ hổng CVE nghiêm trọng cần được xử lý ngay lập tức.

Phân tích CVE và Mức độ Nghiêm trọng CVSS

Splunk đã xếp hạng cả hai lỗ hổng, CVE-2025-20386 và CVE-2025-20387, ở mức độ nghiêm trọng CVSS 8.0 (High). Điều này phản ánh mức độ rủi ro đáng kể đối với các môi trường bị ảnh hưởng.

Mặc dù vectơ tấn công được xác định là network-adjacent, yêu cầu quyền truy cập đã xác thực và tương tác với người dùng, nhưng tác động của lỗ hổng CVE này lan rộng đến ba yếu tố bảo mật cốt lõi: Confidentiality (Tính bảo mật), Integrity (Tính toàn vẹn), và Availability (Tính sẵn sàng) của các hệ thống bị ảnh hưởng.

Tác động này bao gồm khả năng tiết lộ thông tin nhạy cảm, sửa đổi dữ liệu hoặc cấu hình hệ thống một cách trái phép, và thậm chí làm gián đoạn hoạt động của dịch vụ Splunk. Một lỗ hổng CVE với điểm CVSS cao như vậy thường là mục tiêu hàng đầu cho những kẻ tấn công tìm kiếm con đường leo thang đặc quyền.

Cơ chế Khai thác và Ảnh hưởng đến Hệ thống

Một kẻ tấn công có quyền truy cập cục bộ vào hệ thống có thể tận dụng các quyền truy cập tệp sai lệch này để thực hiện nhiều hành vi độc hại.

Các kịch bản khai thác tiềm năng của lỗ hổng CVE này bao gồm:

• Sửa đổi cấu hình hệ thống: Kẻ tấn công có thể thay đổi các tệp cấu hình của Splunk, ví dụ như server.conf hoặc inputs.conf, để kiểm soát cách Splunk thu thập và xử lý dữ liệu. Điều này có thể dẫn đến việc rò rỉ dữ liệu hoặc thực hiện các lệnh độc hại.
• Chèn mã độc: Khả năng ghi vào các thư mục cài đặt cho phép kẻ tấn công chèn mã thực thi độc hại. Mã này có thể được thực thi trong ngữ cảnh của Splunk, thường là với quyền cao hơn người dùng tấn công, dẫn đến leo thang đặc quyền.
• Leo thang đặc quyền: Đây là mục tiêu chính của các cuộc tấn công khai thác quyền truy cập tệp. Bằng cách sửa đổi các tệp hệ thống hoặc cấu hình Splunk, kẻ tấn công có thể nâng cấp quyền truy cập của mình từ người dùng cục bộ không có đặc quyền lên cấp độ quản trị viên. Một khi kẻ tấn công giành được quyền quản trị, toàn bộ hệ thống sẽ bị kiểm soát.

Việc chiếm đoạt quyền điều khiển thông qua một lỗ hổng CVE như vậy là một mối đe dọa nghiêm trọng, đặc biệt khi Splunk Enterprise đóng vai trò quan trọng trong các hoạt động bảo mật của nhiều tổ chức lớn và cơ quan chính phủ. Nó tạo ra một rủi ro bảo mật lớn.

Khuyến nghị và Biện pháp Khắc phục

Cập nhật Bản vá Bảo mật

Để khắc phục ngay lập tức lỗ hổng CVE này, các tổ chức được khuyến nghị nâng cấp lên các phiên bản đã vá lỗi. Các phiên bản này đã được Splunk phát hành để sửa chữa vấn đề cấp quyền truy cập tệp không chính xác.

Các phiên bản Splunk được vá lỗi cụ thể là:

• Splunk Enterprise: 10.0.2, 9.4.6, 9.3.8, hoặc 9.2.10
• Universal Forwarder: 10.0.2, 9.4.6, 9.3.8, hoặc 9.2.10

Việc triển khai bản vá bảo mật này là ưu tiên hàng đầu. Thông tin chi tiết có thể được tìm thấy trong bản cố vấn bảo mật chính thức của Splunk: Splunk Security Advisory SVD-2025-1205.

Biện pháp Giảm thiểu Tức thì

Đối với các tổ chức chưa thể nâng cấp ngay lập tức, Splunk cung cấp các bước giảm thiểu bằng cách sử dụng các lệnh icacls để cấu hình lại quyền thư mục. Các bước này bao gồm loại bỏ các quyền truy cập không phù hợp và áp dụng lại các điều khiển kế thừa quyền chính xác.

Ví dụ về các lệnh icacls có thể được sử dụng để giảm thiểu lỗ hổng CVE này:

icacls "C:Program FilesSplunk" /reset /T /C
icacls "C:Program FilesSplunk" /grant "SYSTEM":(F) /T
icacls "C:Program FilesSplunk" /grant "Administrators":(F) /T
icacls "C:Program FilesSplunk" /grant "Users":(RX) /T
icacls "C:Program FilesSplunk" /remove "Authenticated Users" /T /C

Các lệnh trên sẽ:

• /reset /T /C: Đặt lại tất cả các quyền về trạng thái mặc định của thư mục cha, lan truyền xuống các thư mục con và tệp.
• /grant "SYSTEM":(F) /T: Cấp quyền kiểm soát hoàn toàn (Full control) cho tài khoản SYSTEM, áp dụng cho các thư mục con và tệp.
• /grant "Administrators":(F) /T: Cấp quyền kiểm soát hoàn toàn cho nhóm Administrators, áp dụng cho các thư mục con và tệp.
• /grant "Users":(RX) /T: Cấp quyền đọc và thực thi cho nhóm Users, áp dụng cho các thư mục con và tệp. Điều này giới hạn quyền của người dùng thông thường để ngăn chặn việc sửa đổi.
• /remove "Authenticated Users" /T /C: Xóa quyền của nhóm “Authenticated Users” để đảm bảo rằng chỉ các nhóm được cấp rõ ràng mới có quyền truy cập.

Việc áp dụng các cấu hình quyền này sẽ giúp giảm thiểu rủi ro bảo mật do lỗ hổng CVE gây ra bằng cách hạn chế đáng kể khả năng của người dùng không có đặc quyền trong việc truy cập và sửa đổi các thành phần nhạy cảm của Splunk. Tuy nhiên, việc áp dụng bản vá bảo mật vẫn là giải pháp toàn diện và được khuyến nghị nhất.

Lời khuyên Chung về An ninh Mạng

Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Windows được hỗ trợ và đại diện cho một rủi ro bảo mật chuỗi cung ứng đáng kể nếu bị khai thác trong các môi trường được phòng thủ nghiêm ngặt. Việc thường xuyên kiểm tra và cập nhật các bản vá bảo mật cho tất cả các phần mềm, đặc biệt là các công cụ giám sát và bảo mật như Splunk, là điều tối quan trọng.

Các tổ chức nên ưu tiên quá trình vá lỗi để giảm thiểu nguy cơ bị tấn công. Đảm bảo rằng các hệ thống của bạn luôn được bảo vệ trước các lỗ hổng CVE mới nhất là một phần không thể thiếu của chiến lược an ninh mạng hiệu quả.