Splunk Secure Gateway远程代码执行漏洞CVE-2024-53247

Splunk Secure Gateway是Cisco旗下公司Splunk为了安全的在移动端和服务端通行而推出的服务产品，可以用于大规模管理移动设备群。

Splunk Secure Gateway界面包含注册移动端APP、管理移动端APP、配置MDM、管理移动端dashboard、提供自身监控的仪表盘等功能。

一、基本情况

Splunk Secure Gateway是用于移动端和服务端之间安全通信程序，默认启用在Splunk Enterprise 8.1+和Splunk Cloud 8.1.2103+版本中。

Splunk Secure Gateway的主要功能包括管理移动设备群、促进移动设备和Splunk之间的通信，并可以提供端到端加密云服务的平台实例。

栋科技漏洞库关注到Splunk Secure Gateway应用程序中存在不受信任的数据反序列化来执行远程代码的漏洞，追踪为CVE-2024-53247。

二、基本情况

CVE-2024-53247是Splunk Secure Gateway应用程序中存在的一个不受信任的数据进行反序列化来执行远程代码的漏洞，CVSS评分8.8。

该漏洞源于应用程序中对 jsonpickle Python 库的不安全使用而导致出现的不安全数据反序列化，允许攻击者注入可远程执行的恶意代码。

该高危漏洞可以允许低权限用户在易受攻击的系统上注入可远程执行的恶意代码，成功利用漏洞后，攻击者可以完全控制受影响的系统。

当然，成功利用此漏洞危害不止于此，可能导致远程代码执行，从而使攻击者破坏敏感数据、 安装恶意软件、 控制系统、 中断关键服务。

该漏洞影响Splunk Enterprise 9.3.2、9.2.4 和 9.1.7 以下版本 及Splunk 云平台上低于 3.2.461 和 3.7.13 的 Splunk 安全网关应用程序版本。

Splunk 已发布修补程序来解决此漏洞，强烈建议受影响用户升级到最新版本的 Splunk Enterprise 和 Splunk Secure Gateway 应用程序：

Splunk Enterprise： 升级到 9.3.2、9.2.4 或 9.1.7 或更高版本。

Splunk Secure Gateway 应用程序： 升级到 3.2.461 或 3.7.13 或更高版本。

缓解措施：

如果无法立即打补丁，Splunk 建议禁用 Splunk Secure Gateway 应用程序作为临时缓解措施。

但若禁用该应用程序，也将同时禁用依赖于 Splunk Secure Gateway 应用程序的功能的 Splunk Mobile、Spacepidge 和 Mission Control

三、影响范围

Splunk Enterprise Version：9.3.1

Splunk Enterprise version：9.2.3

Splunk Enterprise Versions：9.1.0 (inclusive) to 9.1.6 (inclusive)

Splunk Secure Gateway version：~ 3.7.13 (excluded)

Splunk Secure Gateway version：~ 3.4.261 (excluded)

四、修复建议

Splunk Enterprise version：9.3.2

Splunk Enterprise version：9.2.4

Splunk Enterprise version：9.1.7  

Splunk Secure Gateway version：3.7.13

Splunk Secure Gateway version：3.4.261

五、参考链接

此处内容已隐藏，评论后刷新即可查看！