Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Security Affairs · 26.4., 20:09 · sikkerhet

CVE-2026-40050: Kritisk path traversal i CrowdStrike LogScale leser serverfiler uten innlogging

SYNOPSIS_GENERERT

CrowdStrike har sluppet patcher for en uautentisert path traversal-feil (CVE-2026-40050) i LogScale som lar eksterne angripere lese vilkårlige serverfiler. Bare selvhostede installasjoner er rammet.

CrowdStrike publiserte tirsdag oppdateringer for CVE-2026-40050, en kritisk path traversal-sårbarhet i LogScale som lar uautentiserte eksterne angripere lese vilkårlige filer fra serverfilsystemet. Feilen ligger i et spesifikt cluster-API-endepunkt som, om det er eksponert, gir lesetilgang uten innlogging. CrowdStrike fant feilen selv gjennom kontinuerlig produkttesting og kjenner ikke til aktiv utnyttelse.

LogScale er logghåndterings- og observability-plattformen som mange SOC-er bruker for sanntidssøk i logger fra systemer, applikasjoner, skytjenester og sikkerhetsverktøy. At et slikt verktøy får en uautentisert lesefeil er spesielt alvorlig fordi LogScale-installasjoner typisk har tilgang til konfigurasjonsfiler, legitimasjon og interne data fra resten av infrastrukturen.

«The vulnerability exists in a specific cluster API endpoint that, if exposed, allows a remote attacker to read arbitrary files from the server filesystem without authentication.» — CrowdStrike security advisory

Risikoprofilen er ujevn. Next-Gen SIEM-kunder er ikke berørt. SaaS-kunder ble beskyttet 7. april gjennom mitigeringer i nettverkslaget på tvers av alle clustere. Det er kun selvhostede installasjoner som må handle aktivt nå, og særlig de som har cluster-API-et eksponert mot internett eller mot bredere nettverkssegmenter enn strengt nødvendig.

For norske team som kjører LogScale on-prem er den raske sjekken: er cluster-API-et tilgjengelig fra noe utenfor selve loggcluster-nettverket? Hvis ja, er du i akutt tiltakssone selv før patchen er rullet ut. CrowdStrike argumenterer i sin egen analyse for at forsvarsverktøy må behandles med samme rigour som systemene de beskytter — en angriper med innsyn i loggplattformen kan dempe varsler, skjule egne spor og bruke plattformen som springbrett.

Hva bør du gjøre?

  1. Identifiser om dere kjører selvhostet LogScale. SaaS- og Next-Gen SIEM-kunder kan stå over.
  2. Oppgrader til patchet versjon umiddelbart i tråd med CrowdStrikes advisory, og verifiser at oppgraderingen faktisk har truffet alle noder i clusteret.
  3. Sjekk om cluster-API-et er nådd fra noe annet enn selve cluster-nettverket. Begrens eksponering til strengt nødvendige kilder via brannmur eller nettverkspolicy, uavhengig av patchstatus.
Åpne eksternt kildedokument
sikkerhetselvhostet

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN