GermanyCulture2 days ago

Splunk Enterprise: Attacks on the code smuggling loophole

Attackers are exploiting a recently discovered security vulnerability in Splunk Enterprise, allowing malicious code to be injected and executed. The vulnerability affects versions prior to 10.2.4 and 10.0.7. Unauthenticated users can perform file operations through a PostgreSQL-sidecar service endpoint without authentication. Splunk has released updates to address the issue, which is classified as critical with a CVSS score of 9.8. Temporary mitigation measures are recommended for environments where immediate upgrades are not possible.

Angreifer missbrauchen eine noch junge Sicherheitslücke in Splunk Enterprise. Die Sicherheitslücke erlaubt, Schadcode aus dem Netz einzuschleusen und auszuführen. Nicht alle Konfigurationen sind betroffen, Updates stehen bereit.

Eine Sicherheitsmitteilung von Splunk hat das Unternehmen am Donnerstag aktualisiert und ergänzt darin, dass Angriffe auf die Schwachstelle im Netz beobachtet wurden. Die in der vergangenen Woche gemeldete Schwachstelle betrifft Splunk Enterprise vor Version 10.2.4 und 10.0.7. Nicht authentifizierte Nutzer können über einen sogenannten PostgreSQL-Sidecar-Dienst-Endpunkt beliebige Dateien anlegen oder beschneiden. Der betroffene Endpunkt hat keine Authentifizierungsmaßnahmen, sodass alle mit Netzwerkzugriff Dateioperationen ohne Angaben von Zugangsdaten ausführen können (CVE-2026-20253, CVSS 9.8 , Risiko „ kritisch “).

Die Aktualisierung der Mitteilung vom Donnerstag besagt nun, dass das Splunk Product Security Incident Response Team (PSIRT) von „begrenztem Missbrauch dieser Schwachstelle“ Wind bekommen hat. Das Unternehmen empfiehlt daher dringend, dass Kunden auf einen korrigierten Software-Stand aktualisieren, um den sicherheitsrelevanten Fehler auszubessern. Nicht betroffen sind Splunk Enterprise 10.4, 9.4 und 9.3.

Temporäre Gegenmaßnahmen

Wo ein Upgrade nicht unmittelbar möglich ist, können Admins das Problem eindämmen, indem sie den PostgreSQL-Sidecar-Dienst deaktivieren. Es handelt sich dabei um einen containerisierten Hilfsdienst für die Datenbank. Das sollten IT-Verantwortliche jedoch nicht auf Edge-Processor-, OpAmp- oder SPL2-Data-Pipelines einer Instanz tun, da das Deaktivieren von PostgreSQL die Funktionen aushebelt und sich das auf davon abhängige Sidecar-Prozesse auswirken kann. Obwohl Angriffe beobachtet worden sind, nennt Splunk jedoch keine Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC).

Die watchTowr-Labs haben sich die Schwachstelle auch genauer angeschaut und eine eigene Analyse vorgelegt. Die liefert Admins hilfreiche Handreichungen, etwa um herauszufinden, ob die eigenen Instanzen anfällig sind. Sie führen zudem auf gewohnt unterhaltsame Art den Missbrauch der Schwachstelle vor.

Splunk-Admins hatten etwa im vergangenen Dezember mit gravierenden Schwachstellen in Splunk Enterprise, Universal Forwarder oder Secure Gateway App zu tun. Die ermöglichten Angreifern etwa Zugriff auf eigentlich nicht zugängliche Systembereiche.

( dmk )

Read the full article at heise online →

Source document: Splunk Security Advisory

1 reports

heise onlineIndependentCenter2 days ago

Splunk Enterprise: Attacks on the code smuggling loophole

Bias read (Center): The article provides a factual report on a technical security vulnerability in software, including details about affected versions, the nature of the exploit, and recommended fixes. There is no political framing, bias, or ideological emphasis present in the content.

Official sources cited

organisation Splunk Security Advisory

Go to the primary sources (1)

The official sources this coverage is built on. Read them directly to bypass framing.

organisationSplunk Security Advisory