Lỗ hổng nghiêm trọng trong Splunk Enterprise cho phép thực thi mã từ xa không cần xác thực

Splunk đã chính thức phát hành các bản cập nhật bảo mật nhằm khắc phục một lỗ hổng nghiêm trọng trong nền tảng Splunk Enterprise. Lỗ hổng này có thể bị khai thác để thực hiện các thao tác tệp tin trái phép và thậm chí là thực thi mã từ xa (RCE) mà không cần xác thực.

Lỗ hổng được định danh là CVE-2026-20253 với điểm số CVSS lên tới 9.8, mức độ nguy hiểm cao nhất. Theo thông tin từ Splunk, vấn đề nằm ở dịch vụ PostgreSQL sidecar, nơi thiếu các cơ chế kiểm soát xác thực cần thiết. Điều này cho phép bất kỳ người dùng nào có khả năng kết nối mạng tới server đều có thể thực hiện các thao tác tệp tin mà không cần thông tin đăng nhập.

Các phiên bản bị ảnh hưởng và bản vá

Người dùng cần kiểm tra và cập nhật lên các phiên bản đã được khắc phục ngay lập tức:

• Splunk Enterprise 10.0.0 đến 10.0.6: Cập nhật lên bản 10.0.7
• Splunk Enterprise 10.2.0 đến 10.2.3: Cập nhật lên bản 10.2.4
• Splunk Enterprise 10.4: Không bị ảnh hưởng

Splunk cũng xác nhận rằng Splunk Cloud không bị ảnh hưởng bởi lỗ hổng này do không sử dụng dịch vụ Postgres sidecar.

Chi tiết kỹ thuật về phương thức khai thác

Các chuyên gia từ watchTowr Labs đã công bố chi tiết kỹ thuật cho thấy lỗ hổng có thể bị khai thác thông qua các endpoint /v1/postgres/recovery/backup và /v1/postgres/recovery/restore.

Kẻ tấn công có thể lợi dụng chuỗi tấn công này để ghi tệp tin tùy ý vào hệ thống. Cụ thể, bằng cách thao túng quá trình khôi phục cơ sở dữ liệu, kẻ tấn công có thể ghi đè lên các tệp script Python mà Splunk thường xuyên thực thi. Sau khi kiểm soát được các tệp này, kẻ tấn công có thể đạt được quyền thực thi mã từ xa trên hệ thống mục tiêu.

Mặc dù hiện tại chưa có bằng chứng về việc lỗ hổng này đang bị khai thác rộng rãi trong thực tế, nhưng với các chi tiết kỹ thuật đã được công khai, các tổ chức sử dụng Splunk Enterprise cần ưu tiên áp dụng các bản vá bảo mật để tránh nguy cơ bị tấn công.

Nguồn tham khảo: The Hacker News