Splunk Enterprise sérülékenység
WatchTowr kutatói részletesen elemezték a CVE-2026-20253 azonosítójú Splunk Enterprise sérülékenységet, és arra a következtetésre jutottak, hogy a gyártó által eredetileg fájlműveleti problémaként kezelt hiba valójában előhitelesítéses távoli kódfuttatásra (Pre-Auth RCE) is felhasználható. A sérülékenység a Splunk Enterprise újabb verzióiban megjelent, háttérben futó PostgreSQL sidecar adatbázis-komponenshez kapcsolódik.
A probléma gyökere tervezési hiba. A Splunk alkalmazásszintű hitelesítési és jogosultságkezelési mechanizmusai helyett bizonyos funkciókat közvetlenül a PostgreSQL szolgáltatásra bíztak. A kutatók megállapították, hogy a PostgreSQL egyes interfészei olyan hálózati kéréseket fogadnak, amelyekhez nincs szükség Splunk-felhasználói hitelesítésre. Ennek eredményeként egy távoli támadó képes PostgreSQL-funkciók segítségével fájlokat létrehozni, módosítani vagy felülírni a Splunk kiszolgálón.
A PostgreSQL nagy jogosultságokkal fut, ezért a támadó olyan helyekre is írhat állományokat, amelyek később a Splunk által automatikusan feldolgozásra kerülnek. A kutatók demonstrálták, hogy speciálisan kialakított konfigurációs vagy script állományok elhelyezésével a hiba teljes távoli kódfuttatássá alakítható. Mindez hitelesítés nélkül, kizárólag hálózati hozzáféréssel végrehajtható.
A Splunk számos szervezetben központi naplógyűjtő és SIEM-rendszerként működik. Egy sikeres kompromittálás esetén a támadó hozzáférhet biztonsági naplókhoz, észlelési szabályokhoz, infrastruktúra-információkhoz és más érzékeny adatokhoz, miközben akár a naplózási folyamatokat is manipulálhatja.
A Splunk javítást adott ki az érintett verziókhoz, és a sérülékenység súlyossága miatt minden internet felől vagy belső hálózaton elérhető Splunk Enterprise rendszer mielőbbi frissítése erősen ajánlott.
