Критическая уязвимость в популярной западной SIEM-системе Splunk Enterprise позволяет неавторизованному злоумышленнику удалённо выполнять файловые операции и получать контроль над системой. Руководитель группы аналитики L1 GSOC компании «Газинформсервис» Андрей Жданухин призвал организации критически пересмотреть подходы к защите собственных инструментов кибербезопасности, включая SIEM-решения.

Уязвимость связана с отсутствием аутентификации в конечной точке сервиса PostgreSQL sidecar, что позволяет любому пользователю, имеющему сетевой доступ, инициировать операции с файлами без учётных данных. По оценкам Андрея Жданухина, хотя уязвимость Splunk имеет прямое отношение в первую очередь к зарубежному бизнесу, российские компании не могут чувствовать себя в полной безопасности.

«Это зарубежное решение нечасто встречается, особенно у крупных компаний. Это связано не только с тем, что это иностранное решение, но и не самым удобным функционалом, на фоне которого наши отечественные решения, как например Ankey SIEM NG, выглядят более уверенно», — отметил эксперт.

Компрометация инструмента безопасности, по его словам, несёт колоссальные риски.

«GSOC компании "Газинформсервис" рекомендует организациям воспринимать подобные инциденты как напоминание о необходимости защищать не только бизнес-системы, но и сами инструменты кибербезопасности. Так как для беспрепятственной реализации функций безопасности системам необходимы соответствующие права и уровни доступа в организации, зачастую равные администраторам сети или домена. Компрометация активов "под носом" у ИБ-подразделения может повлечь за собой большие проблемы», — сказал Жданухин.

Он также перечислил рекомендации для более безопасной работы: «Важно внедрять сегментацию SIEM-инфраструктуры, ограничивать сетевую доступность служебных сервисов и контролировать любые изменения в конфигурации платформ мониторинга. Также особое внимание стоит уделять учётным записям, при помощи которых SIEM осуществляет инвентаризацию активов и, в некоторых случаях, их аудит», — заключил эксперт.