- 27,673
- 46
- 8 Ноя 2022
Более 1400 экземпляров Splunk остаются открытыми в интернете на фоне активных кибератак.
Критическую уязвимость в Splunk Enterprise уже начали использовать в атаках, а в интернете остаются доступными сотни открытых экземпляров продукта.
Проблема получила идентификатор CVE-2026-20253 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — 9.8 Critical). Уязвимость затрагивает Splunk Enterprise 10.2 до версии 10.2.4 и ветку 10.0 до версии 10.0.7. Splunk Enterprise 9.4 и более ранние версии не подвержены этой проблеме.
Ошибка связана со вспомогательной службой PostgreSQL. Служба не проверяла подлинность, поэтому пользователь с сетевым доступом к уязвимому экземпляру мог без учётных данных создавать произвольные файлы или обрезать уже существующие. Такой сценарий опасен не только для целостности данных, но и для доступности системы.
Команда реагирования Splunk PSIRT сообщила , что в июне 2026 года получила сведения о том, что уязвимость ограниченно эксплуатируется. После этого Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило CVE-2026-20253 в каталог известных эксплуатируемых уязвимостей. Для федеральных ведомств США это означает обязанность приоритетно устранить проблему на системах, доступных из интернета.
По данным Shadowserver , в сети отслеживается более 1400 открытых экземпляров Splunk. Большая часть находится в Северной Америке, где обнаружено 952 системы, ещё 223 размещены в Европе. При этом неизвестно, сколько из этих экземпляров действительно уязвимы для текущих атак.
Splunk рекомендует обновить Splunk Enterprise до версий 10.4.0, 10.2.4, 10.0.7 или более новых. Если быстро установить обновление нельзя, администраторы могут отключить вспомогательную службу PostgreSQL. Для этого нужно добавить в файл $SPLUNK_HOME/etc/system/local/server.conf раздел [postgres] с параметром disabled = true, а затем перезапустить Splunk Enterprise.
Компания предупреждает, что применять такой обходной способ можно только предварительно проверив зависимости. Если отключить PostgreSQL, нарушится работа Edge Processor, OpAmp и конвейеров данных SPL2, а также могут пострадать связанные вспомогательные процессы. При этом, по данным Splunk, система продолжит выполнять базовый поиск, индексировать данные и отображать панели мониторинга.
Критическую уязвимость в Splunk Enterprise уже начали использовать в атаках, а в интернете остаются доступными сотни открытых экземпляров продукта.
Проблема получила идентификатор CVE-2026-20253 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — 9.8 Critical). Уязвимость затрагивает Splunk Enterprise 10.2 до версии 10.2.4 и ветку 10.0 до версии 10.0.7. Splunk Enterprise 9.4 и более ранние версии не подвержены этой проблеме.
Ошибка связана со вспомогательной службой PostgreSQL. Служба не проверяла подлинность, поэтому пользователь с сетевым доступом к уязвимому экземпляру мог без учётных данных создавать произвольные файлы или обрезать уже существующие. Такой сценарий опасен не только для целостности данных, но и для доступности системы.
Команда реагирования Splunk PSIRT сообщила , что в июне 2026 года получила сведения о том, что уязвимость ограниченно эксплуатируется. После этого Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило CVE-2026-20253 в каталог известных эксплуатируемых уязвимостей. Для федеральных ведомств США это означает обязанность приоритетно устранить проблему на системах, доступных из интернета.
По данным Shadowserver , в сети отслеживается более 1400 открытых экземпляров Splunk. Большая часть находится в Северной Америке, где обнаружено 952 системы, ещё 223 размещены в Европе. При этом неизвестно, сколько из этих экземпляров действительно уязвимы для текущих атак.
Splunk рекомендует обновить Splunk Enterprise до версий 10.4.0, 10.2.4, 10.0.7 или более новых. Если быстро установить обновление нельзя, администраторы могут отключить вспомогательную службу PostgreSQL. Для этого нужно добавить в файл $SPLUNK_HOME/etc/system/local/server.conf раздел [postgres] с параметром disabled = true, а затем перезапустить Splunk Enterprise.
Компания предупреждает, что применять такой обходной способ можно только предварительно проверив зависимости. Если отключить PostgreSQL, нарушится работа Edge Processor, OpAmp и конвейеров данных SPL2, а также могут пострадать связанные вспомогательные процессы. При этом, по данным Splunk, система продолжит выполнять базовый поиск, индексировать данные и отображать панели мониторинга.
- Источник новости
- www.securitylab.ru
