Angreifer missbrauchen eine noch junge Sicherheitslücke in Splunk Enterprise. Die Sicherheitslücke erlaubt, Schadcode aus dem Netz einzuschleusen und auszuführen. Nicht alle Konfigurationen sind betroffen, Updates stehen bereit.
Eine Sicherheitsmitteilung von Splunk hat das Unternehmen am Donnerstag aktualisiert und ergänzt darin, dass Angriffe auf die Schwachstelle im Netz beobachtet wurden. Die in der vergangenen Woche gemeldete Schwachstelle betrifft Splunk Enterprise vor Version 10.2.4 und 10.0.7. Nicht authentifizierte Nutzer können über einen sogenannten PostgreSQL-Sidecar-Dienst-Endpunkt beliebige Dateien anlegen oder beschneiden. Der betroffene Endpunkt hat keine Authentifizierungsmaßnahmen, sodass alle mit Netzwerkzugriff Dateioperationen ohne Angaben von Zugangsdaten ausführen können (CVE-2026-20253, CVSS 9.8, Risiko „kritisch“).
Die Aktualisierung der Mitteilung vom Donnerstag besagt nun, dass das Splunk Product Security Incident Response Team (PSIRT) von „begrenztem Missbrauch dieser Schwachstelle“ Wind bekommen hat. Das Unternehmen empfiehlt daher dringend, dass Kunden auf einen korrigierten Software-Stand aktualisieren, um den sicherheitsrelevanten Fehler auszubessern. Nicht betroffen sind Splunk Enterprise 10.4, 9.4 und 9.3.
Temporäre Gegenmaßnahmen
Wo ein Upgrade nicht unmittelbar möglich ist, können Admins das Problem eindämmen, indem sie den PostgreSQL-Sidecar-Dienst deaktivieren. Es handelt sich dabei um einen containerisierten Hilfsdienst für die Datenbank. Das sollten IT-Verantwortliche jedoch nicht auf Edge-Processor-, OpAmp- oder SPL2-Data-Pipelines einer Instanz tun, da das Deaktivieren von PostgreSQL die Funktionen aushebelt und sich das auf davon abhängige Sidecar-Prozesse auswirken kann. Obwohl Angriffe beobachtet worden sind, nennt Splunk jedoch keine Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC).
Die watchTowr-Labs haben sich die Schwachstelle auch genauer angeschaut und eine eigene Analyse vorgelegt. Die liefert Admins hilfreiche Handreichungen, etwa um herauszufinden, ob die eigenen Instanzen anfällig sind. Sie führen zudem auf gewohnt unterhaltsame Art den Missbrauch der Schwachstelle vor.
Splunk-Admins hatten etwa im vergangenen Dezember mit gravierenden Schwachstellen in Splunk Enterprise, Universal Forwarder oder Secure Gateway App zu tun. Die ermöglichten Angreifern etwa Zugriff auf eigentlich nicht zugängliche Systembereiche.
(dmk)
English (US) ·