A SIEM megoldások egyik fő feladata az, hogy az eszköz maga ne váljon a támadók belépési pontjává. A Splunk Enterprise legújabb, CVE-2026-20253 azonosítóval nyilvántartott sebezhetősége azonban pontosan erre ad lehetőséget a támadóknak.A CVSS 9.8-as, kritikus besorolású hiba lehetővé teszi, hogy egy előzetesen nem hitelesített, azaz semmilyen érvényes fiókkal nem rendelkező támadó teljes kódfuttatási jogosultságot (RCE) szerezzen az érintett rendszeren.
A hiba a Splunk Enterprise 10-es (és annál újabb) verzióiban bevezetett PostgreSQL Sidecar Service nevű belső komponensben keresendő. Ez az alrendszer a Splunk adatkezelési rétegének kiegészítőjeként funkcionál. Lokális telepítéseken az összetevő alapértelmezés szerint nem feltétlenül aktív, az AWS-en futó Splunk Enterprise felhős verzióiban azonban automatikusan engedélyezett.
A Splunk webes rétege, amely a 8000-es porton hallgat, alkalmazásszintű útválasztással képes továbbítani a kéréseket erre a belső komponensre. A kutatók kimutatták, hogy a /v1/postgres/recovery/backup és /restore API végpontok a fő webes felületen keresztül is elérhetők, és ezek nem tartalmazzák az elvárt hitelesítési ellenőrzéseket. Az API ugyanis bármilyen hitelesítési adatot elfogad, majd azokat változtatás nélkül adja tovább a háttérben futó pg_dump és pg_restore PostgreSQL segédprogramoknak.
Elsőre a sérülékenység hatóköre korlátozottnak tűnik. A watchTowr kutatói azonban megmutatták, hogy több viselkedési gyengeség összekapcsolásával ennél lényegesen komolyabb hatás érhető el. A backupFile paraméter manipulálásával a támadó directory traversal technikával tetszőleges helyre írhat fájlokat a Splunk felhasználó jogosultságával. A database paraméterbe injektált kártékony PostgreSQL connection string hatására a Splunk saját adatbázis kliense a támadó által üzemeltetett szerverhez csatlakozik; az így megszerzett belső adatbázis-hozzáférés, kombinálva a .pgpass fájlban tárolt hitelesítő adatokkal lehetővé teszi tetszőleges SQL utasítások futtatását, amelyek a PostgreSQL beépített lo_export funkciójával fájlokat írnak a lemezre, végül pedig egy automatikusan futtatott legitim Splunk Python script felülírásával a lánc teljes, hitelesítés nélküli kódfuttatásban (RCE) csúcsosodik ki.
Az érintett verziók a Splunk Enterprise 10 és annál újabbak; az AWS-en üzemelő példányok fokozottan kitettnek számítanak. A Splunk kiadta a vonatkozó biztonsági figyelmeztetést, és sürgős frissítést javasol. A watchTowr kutatói a következő védelmi lépéseket ajánlják:
- A belső API végpontokhoz való hozzáférés monitorozása és naplózása
- A szükségtelen endpointok korlátozása hálózati vagy alkalmazásszintű szabályokkal
- A kritikus Splunk-komponensek fájlintegritásának rendszeres ellenőrzése
- A kutatók által fejlesztett detekciós eszközök alkalmazása, amelyek az access control viselkedés tesztelésével azonosítják a sebezhető rendszereket