Splunk Enterprise, la plataforma SIEM i d'observabilitat de seguretat més estença en entorns corporatius, té una vulnerabilitat crítica d'execució remota de codi sense autenticació. CVE-2026-20253 (CVSS 9.8) va ser publicada el 10 de juny de 2026 en l'advisória oficial SVD-2026-0603 de Splunk. La causa arrel: els endpoints del servei PostgreSQL Sidecar de Splunk Enterprise no tenen controls d'autenticació, el que permet a qualsevol usuari amb accés a la xarxa invocar operacions de fitxer sense credencials i, en una cadena d'explotació documentada per watchTowr Labs i Orca Security, escalar a execució remota de codi completa al servidor. Splunk Cloud no està afectat.

Què se sap de CVE-2026-20253 i la cadena de RCE pre-autenticada?

  • Vulnerabilitat: absència total de controls d'autenticació (CWE-306) al servei PostgreSQL Sidecar de Splunk Enterprise. Els endpoints /v1/postgres/recovery/backup i /v1/postgres/recovery/restore són accessibles per qualsevol usuari sense credencials.
  • CVSS 9.8 (Crític): vector d'atac de xarxa, sense privilegis previs, sense interacció de l'usuari.
  • Versions afectades: Splunk Enterprise 10.0.0-10.0.6 (pedaçat en 10.0.7) i 10.2.0-10.2.3 (pedaçat en 10.2.4).
  • Splunk Cloud NO està afectat.
  • Splunk Enterprise a AWS és el cas de major risc: el PostgreSQL Sidecar Service està habilitat per defecte a AWS.
  • CVEs addicionals: CVE-2026-20251 (CVSS 8.8): RCE via deserialització insegura a Splunk Secure Gateway. CVE-2026-20258: XSS i SSRF.

Per què comprometre el SIEM és comprometre la seguretat de tota l'organització

  1. Un atacant amb RCE a Splunk té accés a tots els logs de seguretat. Pot llegir, exfiltrar o manipular tota la telemetria.
  2. L'atacant pot cegar l'equip SOC. Pot eliminar logs, desactivar alertes i operar de forma invisible.
  3. Les credencials d'integració de Splunk són claus d'accés a tota la infraestructura. AWS, Azure, GCP, Active Directory, ITSM, CI/CD.
  4. Accés al fitxer .pgpass amb credencials de PostgreSQL en text pla.

Com funciona la cadena d'explotació de CVE-2026-20253

  1. L'atacant accedeix als endpoints sense autenticació via proxy de Splunk.
  2. Abusa de lo_export de PostgreSQL per escriure fitxers arbitraris al sistema.
  3. Sobreescriu scripts Python que Splunk executa per obtenir RCE.
  4. Llegeix el fitxer .pgpass per obtenir credencials de base de dades.

Lliçons clau i checklist de mitigació

Pas 1 — Verificar exposició:

  • Confirmar la versió de Splunk Enterprise instal·lada. Si és 10.0.0-10.0.6 o 10.2.0-10.2.3, la instància és vulnerable.
  • Verificar si el PostgreSQL Sidecar Service està actiu: $SPLUNK_HOME/bin/splunk status splunk-postgresql-sidecar.

Pas 2 — Actualització urgent:

  • Actualitzar a Splunk Enterprise 10.0.7+ o 10.2.4+. Consultar l'advisória SVD-2026-0603 a advisory.splunk.com.

Pas 3 — Mitigacions temporals:

  • Deshabilitar el PostgreSQL Sidecar Service si no és necessari operativament.
  • Bloquejar l'accés als endpoints /v1/postgres/recovery/* des de xarxes no confiables.

Pas 4 — Investigació forense:

  • Revisar els access logs de Splunk des del 10 de juny.
  • Auditar el sistema de fitxers per cercar modificacions no autoritzades.
  • Verificar la integritat dels scripts Python de Splunk.

La ciberseguretat com a prioritat estratègica

CVE-2026-20253 a Splunk Enterprise és un recordatori que les eines de seguretat també són superfície d'atac. Un SIEM amb una vulnerabilitat crítica de RCE no protegeix l'organització — és el vector pel qual l'organització pot ser compromesa de forma completa i invisible.

Apolo Cybersecurity: avaluació i protecció d'entorns Splunk Enterprise davant CVE-2026-20253

A Apolo Cybersecurity ajudem organitzacions amb Splunk Enterprise a verificar l'exposició davant CVE-2026-20253, aplicar el pedàç SVD-2026-0603, implementar mitigacions temporals i revisar els logs forenses des del 10 de juny.

Si la teva organització fa servir Splunk Enterprise 10.x on-premise i no has aplicat l'actualització, aquest dilluns al matí és el moment de fer-ho. El sistema que hauria de detectar els atacs no pot ser el vector d'entrada.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity