Exposición de Credenciales en Logs del Splunk Add-on para Palo Alto Networks

Recursos afectados:

Todas las versiones del Splunk Add-on for Palo Alto Networks anteriores a la versión 2.0.2.

(Nota: Esto afecta al componente de software que se ejecuta sobre la plataforma Splunk para integrar logs de dispositivos Palo Alto).

Detalle:

La vulnerabilidad (CVE-2025-20373), clasificada con severidad Baja (CVSS 2.7), afecta la confidencialidad de la información. Aunque el puntaje es bajo porque requiere privilegios altos (Admin) o acceso local a los archivos de log para ser explotada, representa un riesgo de cumplimiento y seguridad si los logs internos no están adecuadamente restringidos.

Descripción:

El fallo (identificado como CWE-532: Insertion of Sensitive Information into Log File) ocurre durante el proceso de adición de nuevas “Data Security Accounts”. El Add-on expone los secretos del cliente (client secrets) en texto plano dentro del índice _internal de Splunk. Si un usuario con acceso administrativo a estos índices (o un atacante que haya comprometido un servidor Splunk y tenga acceso al sistema de archivos) revisa estos logs, podría recuperar las credenciales y utilizarlas para acceder a los sistemas de Palo Alto vinculados.

Solución:

Se debe realizar la actualización del componente afectado:

1. Actualizar: Instalar la versión 2.0.2 o superior del Splunk Add-on for Palo Alto Networks, disponible en Splunkbase.

2. Mitigación / Limpieza:

   • Revisar los roles y capacidades en la instancia de Splunk para asegurar que el acceso a los índices internos (_internal) esté restringido solo a administradores de confianza.

   • Se recomienda rotar (cambiar) cualquier “client secret” que haya sido configurado mientras se utilizaba la versión vulnerable, ya que podría haber quedado registrado en los logs históricos.