CVE-2025-20371

چکیده

آسیب‌پذیری جعل درخواست سمت سرور (Blind SSRF) در Splunk Enterprise (نسخه‌های پیش از 10.0.1، 9.4.4، 9.3.6 و 9.2.8) و Splunk Cloud Platform (نسخه‌های پیش از 9.3.2411.109، 9.3.2408.119 و 9.2.2406.122) شناسایی شده است. مهاجم بدون احراز هویت در صورت تنظیم بودن گزینه enableSplunkWebClientNetloc = true و با فریب (phishing) کاربر دارای دسترسی بالا می تواند Blind SSRF را فعال کرده و درخواست‌های REST API را به نمایندگی از آن کاربر اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-20371 در Splunk Enterprise و Splunk Cloud Platform، ناشی جعل درخواست سمت سرور Blind SSRF)) مطابق با CWE-918 است که به دلیل عدم اعتبارسنجی کافی مقصد درخواست‌ها در REST API رخ می‌دهد.

این ضعف زمانی فعال می‌شود که گزینه enableSplunkWebClientNetloc در پیکربندی web.conf روی true تنظیم شود که به مهاجم بدون احراز هویت اجازه می‌دهد با فریب کاربر (از طریق فیشینگ) برای ارسال درخواست از مرورگر، درخواست‌های REST API را به نمایندگی از کاربر با سطح دسترسی بالاتر (مانند admin) اجرا کند. این درخواست‌ها می‌توانند منجر به دسترسی غیرمجاز به داده‌های حساس، تغییر تنظیمات یا اختلال در سیستم شوند.

بهره‌برداری از این آسیب‌پذیری نیازمند دو پیش‌شرط است، مورد اول فعال بودن گزینه enableSplunkWebClientNetloc و مورد دوم فریب یک کاربر دارای دسترسی بالا؛ در نتیجه این حمله به‌صورت خودکار و بدون تعامل کاربر قابل اجرا نیست. پیامدهای آن شامل نقض محرمانگی با دسترسی به داده‌های حساس، یکپارچگی با تغییر تنظیمات و در دسترس‌پذیری با اختلال در عملکرد سیستم است.

Splunk این آسیب پذیری را در نسخه‌های 10.0.1، 9.4.4، 9.3.6 و 9.2.8 برای Splunk Enterprise و 9.3.2411.109، 9.3.2408.119 و 9.2.2406.122 برای Splunk Cloud پچ کرده است و توصیه می‌کند گزینه enableSplunkWebClientNetloc را روی false قرار دهید تا ریسک کاهش یابد.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Splunk Enterprise وSplunk Cloud Platform را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری با شدت بالا در Splunk Enterprise و Splunk Cloud، امکان اجرای درخواست‌های REST API غیرمجاز را از طریق فیشینگ فراهم می‌کند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای کاهش ریسک و افزایش امنیت ضروری است:

• به‌روزرسانی فوری: Splunk Enterprise را به نسخه‌های 10.0.1، 9.4.4، 9.3.6 و 9.2.8 و Splunk Cloud را به نسخه‌های 9.3.2411.109، 9.3.2408.119 یا 9.2.2406.122 به روزرسانی کنید.
• تغییر تنظیمات: گزینه enableSplunkWebClientNetloc را در conf به false تغییر دهید تا ریسک بهره‌برداری کاهش یابد.
• محدودسازی دسترسی: دسترسی به REST API را با استفاده ازRBAC محدود کرده و از فایروال اپلیکیشن وب (WAF) برای فیلتر کردن درخواست‌های مشکوک استفاده کنید.
• نظارت و ثبت لاگ (logging): لاگ‌های Splunk را برای درخواست‌های غیرعادی REST API یا الگوهای فیشینگ نظارت کنید
• ایزوله‌سازی محیط: Splunk را در شبکه‌های تقسیم بندی شده اجرا کنید و دسترسی‌های خارجی را با VPN یا فایروال محدود کنید.
• تست و اسکن امنیتی: سیستم را با ابزارهای اسکن آسیب‌پذیری مانند Nessus یا Burp Suite بررسی کنید و تست نفوذ برای APIهای Splunk انجام دهید.
• آموزش کاربران: کاربران و مدیران را در مورد ریسک فیشینگ و اهمیت اجتناب از کلیک روی لینک‌های مشکوک آموزش دهید.

اجرای این اقدامات، ریسک دسترسی غیرمجاز و اختلال سیستم را به حداقل رسانده و امنیت Splunk را بهبود می‌بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access — TA0001
خودش یک بردار اکسپلویت لایه اپلیکیشن است؛ درخواست‌های ورودی می‌توانند مقصد را به منابع داخلی هدایت کنند. در این CVE وقتی enableSplunkWebClientNetloc=true باشد، مهاجم می‌تواند از ورودی‌های وب برای وادار کردن سرور به اجرای درخواست به منابع داخلی استفاده کند.

Credential Access — TA0006
هدف رایج SSRF خواندن آدرس متادیتای ابری (169.254.169.254) برای استخراج توکن‌های IAM/temporary است. اگر Splunk روی VM در cloud باشد، این منبع مستقیمِ credential است.

Discovery — TA0007
مهاجم از SSRF برای لمس API های داخلی، صفحات مدیریتی و منابع شبکه استفاده می‌کند تا ساختار سرویس‌ها و هدف‌گذاری را صورت دهد.

Privilege Escalation — TA0004
با استخراج توکن‌ها /credentialها مهاجم می‌تواند impersonate کند یا دسترسی‌ را ارتقا دهد.

Collection — TA0009
مهاجم می‌تواند خروجی API های داخلی، فایل‌های پیکربندی یا لاگ‌ها را بخواند و جمع‌آوری کند.

Exfiltration — TA0010
داده‌های جمع‌آوری‌شده از طریق همان کانال HTTP یا کانال‌های جانبی (DNS, ICMP) به خارج فرستاده می‌شوند. مهاجم می‌تواند خروج را chunk کند تا تشخیص دشوار شود.

Defense Evasion — TA0005
حملات SSRF اغلب از رفتار نرمال تقلید و از توالی‌های پراکنده/تغییر UA استفاده می‌کنند تا از detection مبتنی بر امضا عبور کنند. Blind SSRF مخصوصاً چون درخواست از سوی سرور داخلی زده می‌شود، کمتر دیده می‌شود.

Impact — TA0040
پیامد اصلی افشای توکن‌ها/داده‌ها (Confidentiality)، تغییر تنظیمات یا اجرای عملیات ناشناس (Integrity) و در برخی سناریوها ایجاد اختلال در سرویس‌ها (Availability) است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-20371
2. https://www.cvedetails.com/cve/CVE-2025-20371/
3. https://advisory.splunk.com/advisories/SVD-2025-1006
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20371
5. https://vuldb.com/?id.326657
6. https://nvd.nist.gov/vuln/detail/CVE-2025-20371
7. https://cwe.mitre.org/data/definitions/918.html