A Splunk sürgősségi biztonsági frissítéseket adott ki egy rendkívül súlyos sérülékenység javítására, amely lehetővé teheti támadók számára, hogy hitelesítés nélkül távoli kódot futtassanak az érintett Splunk Enterprise rendszereken.
A sérülékenység azonosítója:
CVE-2026-20253
CVSS pontszám: 9.8 (kritikus)
A hiba különösen veszélyes, mert a Splunk sok szervezetnél:
- SIEM rendszerként működik,
- biztonsági naplókat tárol,
- tartományvezérlők eseményeit gyűjti,
- EDR/XDR rendszerekkel integrált,
- felhő és hálózati infrastruktúra központi megfigyelő platformja.
Egy sikeres kompromittálás után a támadó gyakorlatilag a szervezet teljes biztonsági működésébe betekintést nyerhet.
Mi okozza a hibát?
A probléma a Splunk Enterprise egyik:
PostgreSQL Sidecar Service
komponensében található.
A szolgáltatás bizonyos végpontjai nem megfelelő hitelesítési ellenőrzést végeznek, így egy hálózatról elérhető támadó:
- fájlokat hozhat létre,
- fájlokat írhat felül,
- adatbázis műveleteket indíthat,
- végső soron kódfuttatást érhet el.
Érintett verziók
Sérülékeny
- Splunk Enterprise 10.0.0 – 10.0.6
- Splunk Enterprise 10.2.0 – 10.2.3
Javított
- Splunk Enterprise 10.0.7
- Splunk Enterprise 10.2.4
- Splunk Enterprise 10.4
Nem érintett
- Splunk Cloud
Hogyan működik a támadás?
A kutatók szerint két REST végpont használható ki:
/v1/postgres/recovery/backupés
/v1/postgres/recovery/restoreA támadó:
- létrehoz egy rosszindulatú PostgreSQL szervert,
- ráveszi a Splunkot, hogy csatlakozzon hozzá,
- manipulált adatbázismentést készít,
- visszaállítja azt a Splunk rendszeren,
- SQL parancsokat futtat,
- fájlokat ír az operációs rendszerbe,
- Python szkripteket ír felül,
- végül távoli kódfuttatást ér el.
Miért különösen veszélyes?
A Splunk gyakran tartalmaz:
- AD hitelesítési naplókat
- VPN eseményeket
- EDR riasztásokat
- tűzfal naplókat
- felhő infrastruktúra naplókat
- biztonsági incidensek adatait
Egy kompromittált Splunk rendszerből a támadó megtudhatja:
- hogyan épül fel a hálózat,
- kik a rendszergazdák,
- milyen biztonsági eszközök futnak,
- milyen riasztások keletkeztek,
- milyen támadások zajlanak éppen.
Lehetséges következmények
Távoli kódfuttatás
A támadó saját kódot futtathat a Splunk szerveren.
Naplók manipulálása
- log törlés
- log módosítás
- nyomok eltüntetése
Tartós hozzáférés
- hátsó ajtók telepítése
- új felhasználók létrehozása
Oldalirányú mozgás
A Splunkból további rendszerek támadhatók.
Ransomware előkészítés
A Splunk kiváló célpont a ransomware csoportok számára, mert teljes képet ad a környezetről.
Mit tegyenek az üzemeltetők?
Azonnal frissíteni
Legalább:
- 10.0.7
- 10.2.4
verzióra.
Ellenőrizni az internetes kitettséget
Különösen:
- Splunk Web
- Management Port
- PostgreSQL kapcsolódó szolgáltatások
esetén.
Naplóellenőrzés
Keresni kell:
- szokatlan PostgreSQL recovery eseményeket
- backup/restore műveleteket
- ismeretlen IP-címeket
Fájlintegritás vizsgálat
Különösen:
- Python szkriptek
- Splunk alkalmazások
- Splunk Secure Gateway komponensek
ellenőrzése javasolt.
Threat Hunting
Érdemes vizsgálni:
- váratlan fájlmódosításokat
- új Python fájlokat
- ismeretlen PostgreSQL kapcsolatokat
- rendellenes szolgáltatásindításokat
Miért fontos ez a sérülékenység?
A Splunk nem egyszerű alkalmazás.
Sok szervezetnél ez a teljes SOC (Security Operations Center) központi eleme.
Ha egy támadó kompromittálja a SIEM rendszert, akkor:
- látja a védelmi eseményeket,
- megismeri az infrastruktúrát,
- módosíthatja a naplókat,
- elrejtheti a saját tevékenységét.
Ezért a CVE-2026-20253 jelenleg az egyik legfontosabb vállalati sérülékenység azoknál a szervezeteknél, ahol Splunk Enterprise üzemel.
