Thought Leadership
Splunk warnt vor der aktiven Ausnutzung einer Sicherheitslücke in Splunk Enterprise, die unberechtigte Dateioperationen und Codeausführung ermöglicht.
Die Sicherheitslücke mit der Kennung CVE-2026-20253 betrifft spezifische Versionen der Analysesoftware Splunk Enterprise, namentlich die Versionen 10.2.0 bis 10.2.3 sowie 10.0.0 bis 10.0.6. Das Sicherheitsrisiko wird mit einem CVSS-Basiswert von 9,8 als kritisch eingestuft. Die Schwachstelle befindet sich in einem integrierten PostgreSQL-Sidecar-Dienst der Software. Durch das vollständige Fehlen von Zugriffskontrollen können entfernte Angreifer ohne jegliche Benutzerrechte oder Passwörter beliebige Dateien auf den betroffenen Systemen erstellen oder im Speicher kürzen.
„Die Schwachstelle besteht, weil dem PostgreSQL-Sidecar-Service-Endpunkt Authentifizierungskontrollen fehlen, was es jedem über das Netzwerk erreichbaren Benutzer ermöglicht, Dateioperationen ohne Anmeldedaten aufzurufen.“
Sicherheitsteam von Splunk
Veröffentlichung von Exploit-Code und aktive Angriffe auf Splunk
Wenige Tage nach der Bereitstellung der ersten Sicherheits-Patches veröffentlichten Analysten des IT-Sicherheitsunternehmens WatchTowr eine detaillierte technische Analyse sowie funktionierenden Proof-of-Concept-Exploit-Code. Aus der Analyse ging hervor, dass sich die Schwachstelle auch für das Einschleusen und Ausführen von bösartigem Programmcode aus der Ferne ausnutzen lässt.
Das Product Security Incident Response Team von Splunk stellte kurz darauf fest, dass die Schwachstelle bereits in der Praxis für Angriffe ausgenutzt wird, und forderte alle Anwender zu einer sofortigen Aktualisierung der Systeme auf. Nach Daten der Sicherheits-Überwachungsorganisation Shadowserver sind weltweit mehr als 1400 Splunk-Instanzen direkt über das Internet erreichbar, wovon der Großteil in Nordamerika und Europa betrieben wird.
Sicherheitsupdates und temporäre Gegenmaßnahmen
Zur Behebung des Sicherheitsrisikos stehen fehlerbereinigte Software-Versionen zur Verfügung. Betreiber von Splunk Enterprise müssen ihre Installationen auf die Versionen 10.2.4 oder 10.0.7 beziehungsweise auf neuere Veröffentlichungen wie die Version 10.4.0 anheben. Für Systeme, die nicht unmittelbar aktualisiert werden können, empfiehlt der Hersteller als vorübergehende Notlösung das manuelle Deaktivieren des betroffenen PostgreSQL-Sidecar-Dienstes. Diese Maßnahme verringert die Angriffsfläche, führt jedoch zu funktionalen Einschränkungen bei bestimmten Daten-Pipelines wie dem Edge Processor oder SPL2.
(red)
