Splunk kihasználás

Editors' Pick

Aktív támadások zajlanak a Splunk Enterprise CVE-2026-20253 sérülékenység kihasználására, amelyet a CISA is felvett a Known Exploited Vulnerabilities (KEV) katalógusba. A hiba CVSS 9,8-as besorolású, és hitelesítés nélküli távoli támadó számára teszi lehetővé tetszőleges fájlok létrehozását vagy felülírását, amely végül RCE eléréséhez vezethet. 

A sérülékenység a Splunk 10-es verzióiban bevezetett PostgreSQL Sidecar szolgáltatásban található. A szolgáltatás bizonyos API-végpontjai nem végeznek megfelelő hitelesítést, miközben a Splunk webes felülete képes a külső kéréseket erre a belső komponensre továbbítani. A watchTowr kutatói bemutatták, hogy a /backup és /restore végpontok segítségével egy támadó saját PostgreSQL-adatbázisát használva rosszindulatú adatbázismentést tölthet be, amely során tetszőleges fájlok írhatók a Splunk szerveren. Ezt követően egy rendszeresen futtatott Python komponens felülírásával teljes távoli kódfuttatás érhető el. 

A leginkább érintettek a Splunk Enterprise 10.0.x és 10.2.x verziói. A Splunk Cloud nem érintett, mivel ott nem használják a PostgreSQL sidecar architektúrát. A javított verziók a 10.0.7, 10.2.4, illetve a támogatott 9.x ágak megfelelő frissítései. A Splunk szerint nincs hatékony workaround, a frissítés az egyetlen hivatalos védekezési lehetőség. 

A sérülékenység különösen veszélyes, mert a Splunk sok szervezetnél a SOC és a naplógyűjtési infrastruktúra központi eleme. Egy sikeres kompromittálás nemcsak a szerver feletti irányítást adhatja át a támadónak, hanem hozzáférést biztosíthat nagy mennyiségű naplóadathoz, hitelesítési információhoz és biztonsági eseményhez is, miközben a támadó éppen azt a rendszert kompromittálja, amelynek feladata a támadások észlelése lenne. A Splunk PSIRT június 18-án megerősítette, hogy korlátozott számú valós kihasználási kísérletet már észleltek.

FORRÁS