Krytyczna luka w Splunk Enterprise umożliwia zdalne wykonanie kodu bez uwierzytelnienia - Security Bez Tabu

Krytyczna luka w Splunk Enterprise umożliwia zdalne wykonanie kodu bez uwierzytelnienia

Cybersecurity news

Wprowadzenie do problemu / definicja

W Splunk Enterprise ujawniono krytyczną podatność oznaczoną jako CVE-2026-20253, która może umożliwić zdalne wykonanie kodu bez konieczności uwierzytelnienia. Problem wynika z braku właściwej kontroli dostępu w endpointach powiązanych z usługą PostgreSQL sidecar, co otwiera drogę do operacji na plikach wykonywanych przez nieuprawnionego użytkownika.

Ze względu na rolę Splunka w środowiskach korporacyjnych, gdzie platforma często odpowiada za analizę logów, monitoring bezpieczeństwa i wsparcie pracy SOC, skutki skutecznej eksploatacji mogą być bardzo poważne. Atak na taki system nie ogranicza się wyłącznie do przejęcia pojedynczego serwera, ale może wpłynąć na widoczność incydentów i integralność danych bezpieczeństwa w całej organizacji.

W skrócie

Podatność otrzymała ocenę 9.8 w skali CVSS, co potwierdza jej krytyczny charakter. Dotyczy Splunk Enterprise w wersjach wcześniejszych niż 10.2.4 oraz 10.0.7, a producent wskazał, że nie istnieje skuteczne obejście konfiguracyjne zastępujące instalację poprawek.

  • luka nie wymaga uwierzytelnienia,
  • umożliwia wykonywanie operacji na plikach,
  • może prowadzić do zdalnego wykonania kodu,
  • dotyczy wybranych gałęzi Splunk Enterprise,
  • wymaga pilnej aktualizacji środowiska.

Kontekst / historia

Informacja o luce została opublikowana w czerwcu 2026 roku wraz z biuletynami bezpieczeństwa producenta. Błąd sklasyfikowano jako przypadek niewłaściwej autoryzacji w usługach sieciowych, co w praktyce oznacza, że określone endpointy były dostępne bez wymagania ważnych poświadczeń.

Znaczenie incydentu zwiększa fakt, że równolegle pojawiły się techniczne opisy realistycznego łańcucha eksploatacji. W takich przypadkach czas między publikacją informacji o luce a pojawieniem się gotowych narzędzi do ataku bywa bardzo krótki, dlatego organizacje korzystające z podatnych wersji powinny traktować ten problem jako zdarzenie o najwyższym priorytecie.

Analiza techniczna

Źródłem problemu są endpointy usługi PostgreSQL sidecar osiągalne sieciowo bez odpowiedniego uwierzytelnienia. Atakujący nie musi posiadać konta w Splunku ani przechwyconych danych dostępowych, aby wywoływać określone funkcje związane z obsługą danych.

Publicznie opisany scenariusz wykorzystania opiera się na mechanizmach backup i restore. W uproszczeniu napastnik może doprowadzić do zapisania kontrolowanej przez siebie zawartości na systemie plików hosta, a następnie wykorzystać proces przywracania danych do załadowania spreparowanego zrzutu do lokalnej instancji PostgreSQL.

Kluczowy etap następuje podczas odtwarzania danych, kiedy odpowiednio przygotowane instrukcje SQL mogą zostać wykonane przez lokalną bazę. To z kolei pozwala uzyskać prymityw zapisu plików i umieścić na dysku złośliwy kod lub nadpisać istniejące elementy środowiska Splunk. W praktyce taki łańcuch może doprowadzić do uruchomienia payloadu z uprawnieniami procesu aplikacji.

Producent wskazał, że problem nie dotyczy gałęzi 10.4 oraz środowiska Splunk Cloud, które nie korzysta z omawianego komponentu PostgreSQL sidecar. Poprawione wersje dla podatnych linii to 10.2.4 oraz 10.0.7.

Konsekwencje / ryzyko

Ryzyko związane z tą podatnością jest szczególnie wysokie, ponieważ Splunk często pełni funkcję centralnego systemu gromadzenia logów, korelacji zdarzeń i analizy incydentów. Kompromitacja takiej platformy może umożliwić zarówno przejęcie dostępu do danych operacyjnych, jak i zakłócenie procesów bezpieczeństwa.

  • kradzież wrażliwych danych i artefaktów bezpieczeństwa,
  • manipulację logami lub ich usuwanie,
  • wykorzystanie serwera Splunk do dalszej penetracji sieci,
  • pozyskanie sekretów, tokenów i poświadczeń zapisanych na hoście,
  • osłabienie zdolności wykrywania i reagowania na incydenty.

Szczególnie niebezpieczne jest połączenie trzech czynników: braku uwierzytelnienia, zdalnej osiągalności oraz publicznie opisanej ścieżki eksploatacji. Oznacza to, że nawet organizacje, które nie odnotowały jeszcze prób ataku, powinny zakładać wysokie prawdopodobieństwo szybkiego uzbrojenia exploita przez cyberprzestępców.

Rekomendacje

Najważniejszym działaniem jest natychmiastowa identyfikacja wszystkich instancji Splunk Enterprise w środowisku oraz sprawdzenie, czy należą do podatnych wersji. Następnie należy jak najszybciej przeprowadzić aktualizację do wersji naprawionych lub nowszych.

  • zaktualizować Splunk Enterprise co najmniej do wersji 10.0.7 lub 10.2.4,
  • ograniczyć dostęp sieciowy do usług administracyjnych i pomocniczych,
  • sprawdzić, czy instancje nie są bezpośrednio wystawione do Internetu,
  • przeanalizować logi pod kątem nietypowych operacji backup i restore,
  • zweryfikować integralność skryptów i plików wykonywanych przez Splunk,
  • włączyć monitorowanie zmian w systemie plików na hostach Splunk,
  • po podejrzanej aktywności przeprowadzić przegląd sekretów, kont i integracji.

Jeżeli aktualizacja nie może zostać wdrożona od razu, podatne systemy należy odseparować od mniej zaufanych segmentów sieci i objąć wzmożonym monitoringiem. Nie jest to jednak pełna ochrona, ponieważ producent nie wskazał skutecznych obejść eliminujących źródło problemu.

Podsumowanie

CVE-2026-20253 należy do najpoważniejszych podatności ujawnionych ostatnio w oprogramowaniu wykorzystywanym do monitoringu i analizy bezpieczeństwa. Połączenie braku uwierzytelnienia, możliwości operacji na plikach oraz praktycznej drogi do zdalnego wykonania kodu sprawia, że zagrożenie ma krytyczny charakter.

Organizacje korzystające z podatnych wersji Splunk Enterprise powinny potraktować wdrożenie poprawek jako działanie natychmiastowe. Równolegle warto ocenić ekspozycję sieciową systemów, przeanalizować ślady potencjalnej kompromitacji i sprawdzić integralność najważniejszych komponentów aplikacji.

Źródła

  1. Critical Splunk Enterprise Flaw Lets Attackers Run Code Without Authentication — https://thehackernews.com/2026/06/critical-splunk-enterprise-flaw-lets.html
  2. SVD-2026-0603 | Splunk Vulnerability Disclosure — https://advisory.splunk.com/advisories/SVD-2026-0603
  3. SVD-2026-0610 | Splunk Vulnerability Disclosure — https://advisory.splunk.com/advisories/SVD-2026-0610
  4. watchTowr Labs — https://labs.watchtowr.com/