Kritieke Splunk Enterprise-fout zorgt ervoor dat aanvallers code kunnen uitvoeren zonder authenticatie

Cyberbeveiliging
Kritieke Splunk Enterprise-fout zorgt ervoor dat aanvallers code kunnen uitvoeren zonder authenticatie

Splunk heeft beveiligingsupdates uitgebracht om een ​​kritieke beveiligingsfout in Splunk Enterprise op te lossen die kan worden misbruikt om niet-geverifieerde bestandsbewerkingen uit te voeren en zelfs om code op afstand uit te voeren.

De kwetsbaarheid, bijgehouden als CVE-2026-20253krijgt een beoordeling van 9,8 op het CVSS-scoresysteem.

“In Splunk Enterprise-versies lager dan 10.2.4 en 10.0.7 kan een niet-geverifieerde gebruiker willekeurige bestanden maken of inkorten via een PostgreSQL sidecar-service-eindpunt”, zei Splunk deze week in een waarschuwing.

“Het beveiligingslek bestaat omdat het eindpunt van de PostgreSQL sidecar-service geen authenticatiecontroles heeft, waardoor elke via het netwerk bereikbare gebruiker bestandsbewerkingen kan uitvoeren zonder inloggegevens.”

Het probleem is verholpen in de volgende versies:

  • Splunk Enterprise 10.0.0 tot 10.0.6 – Opgelost in 10.0.7
  • Splunk Enterprise 10.2.0 tot 10.2.3 – Opgelost in 10.2.4
  • Splunk Enterprise 10.4 – Niet beïnvloed

Splunk, onderdeel van Cisco, zegt dat Splunk Cloud geen last heeft van de kwetsbaarheid, omdat er geen Postgres-zijspannen in het product worden gebruikt.

Waar de fout allemaal over gaat

WatchTowr Labs heeft vrijdag aanvullende technische details vrijgegeven van CVE-2026-20253, waarin staat dat het kan worden misbruikt om vooraf geverifieerde code-uitvoering op afstand te bereiken op gevoelige systemen via de “/v1/postgres/recovery/backup” en “/v1/postgres/recovery/restore” eindpunten.

De aanvalsketen werkt als volgt:

  • Maak verbinding met een door een aanvaller bestuurde database en dump de inhoud ervan in een willekeurig bestand met behulp van het /backup-eindpunt
  • Laad de dump van de door de aanvaller bestuurde database in de lokale PostgreSQL-instantie met behulp van het /restore-eindpunt door een “passfile”-argument op te nemen dat het pad specificeert naar een “.pgpass”-bestand (“/opt/splunk/var/packages/data/postgres/.pgpass”) met daarin het wachtwoord voor de “postgres_admin”-gebruiker
  • SQL-query’s die in de databasedump zijn gedefinieerd, worden uitgevoerd door de PostgreSQL-instantie van Splunk

Een aanvaller zou deze zwakte kunnen gebruiken om een ​​nieuwe functie te definiëren die gebruik maakt van lo_export – een functie die wordt gebruikt om een ​​BLOB uit de database te extraheren en deze op te slaan als een bestand op het bestandssysteem – om door de aanvaller bestuurde inhoud naar een bestand te schrijven, waarna de functie wordt uitgevoerd tijdens het herstelproces.

“Op dit punt kunnen we authenticeren, door de aanvaller gecontroleerde SQL herstellen en communiceren met de lokale database”, aldus beveiligingsonderzoekers Piotr Bazydlo en Yordan Ganchev. “Toen we eenmaal door de aanvaller gecontroleerde SQL in de lokale PostgreSQL-instantie konden herstellen, hebben we snel een databasedumpsjabloon samengesteld waarmee we gecontroleerd bestanden konden schrijven.”

Gewapend met een willekeurige primitief voor het schrijven van bestanden op het Splunk-bestandssysteem, kan een aanvaller verder escaleren tot uitvoering van code op afstand door een Python-script te overschrijven dat Splunk regelmatig uitvoert (bijvoorbeeld “/opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py”) om de kwaadaardige lading op te nemen.

De volledige reeks acties staat hieronder –

  • Maak een database en configureer deze zo dat een gebruiker zich kan authenticeren zonder wachtwoord en geef hem voldoende rechten om functies als lo_export op te roepen
  • Gebruik het /backup-eindpunt om een ​​dump van de externe database op het Splunk-bestandssysteem neer te zetten
  • Gebruik het /restore-eindpunt om de kwaadaardige databasedump te laden, de uitvoering van de kwaadaardige functie te activeren tijdens het herstelproces en een door de aanvaller bestuurd Python-script naar het Splunk-bestandssysteem te schrijven

Hoewel er geen bewijs is dat de fout in het wild wordt uitgebuit, kan de beschikbaarheid van de specifieke kenmerken van de exploit voldoende zijn om bedreigingsactoren ertoe aan te zetten opportunistische pogingen te ondernemen. Het is essentieel dat gebruikers snel actie ondernemen om de oplossingen toe te passen om beschermd te blijven.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

VS beveelt Anthropic om de toegang van Fable 5 en Mythos 5 voor buitenlanders op te schorten

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]