Kritična ranjivost u Splunk Enterprise omogućava pristup bez autentifikacije
Kritična ranjivost u Splunk Enterprise (CVE-2026-20253) omogućava izvršavanje koda bez autentifikacije kroz PostgreSQL sidekcar servis.
Šta se desilo?
Otkrivena je ozbiljna ranjivost u Splunk Enterprise koja dozvoljava napadačima bez autentifikacije da izvrše arbitrarni kod na sistemu. Problem leži u PostgreSQL sidekcar servisu - internoj komponenti koja je podrazumevano aktivna u Splunk Enterprise na AWS platformi i koja može biti dostupna споlja putem glavnog veb interfejsa aplikacije.
Koga pogađa?
Organizacije koje koriste Splunk Enterprise verzije 10 i novije, posebno one koje su deplojirale Splunk na AWS okruženju. Iako on-premise implementacije mogu biti zaštićene ako je PostgreSQL sidekcar servis onemogućen, облачне implementacije su izuzetno rizične jer je komponenta omogućena по defaultu.
Kako se zaštititi?
- Hitno ažurirajte Splunk Enterprise na zakrpljenu verziju koju je izdala Splunk
- Ako ste na AWS platformi, prioritizujte primenu zakrpe jer je ranjiva komponenta aktivna по defaultu
- Pratite pristup internim API endpointima kao što su "/v1/postgres/recovery/backup" i "/restore"
- Ograničite mrežni pristup PostgreSQL sidekcar servisu gde je to moguće
- Redovno proverite integritet kritičnih Splunk komponenti i Python skripti
- Pregledajte datoteke pristupa i autentifikacije (.pgpass) na serveru
Tehnički detalji
Ranjivost je evidentirana kao CVE-2026-20253 sa CVSS skorom od 9.8. Problem se manifestuje kroz nedostatak autentifikacione provere na API endpointima PostgreSQL sidekcar servisa. Napadač može poslati oblikovane HTTP zahteve putem Splunk veb servisa na portu 8000, manipulisati parametrom "backupFile" za kreiranje datoteka na proizvolnim lokacijama, ili ubaciti PostgreSQL connection stringove da prisili konekciju na napadačem kontrolisanu bazu podataka. Kroz kombinovanje ovih tehnika i korišćenja PostgreSQL large object export funkcija, napadač može pisati proizvoljne datoteke pod Splunk korisnikom i na kraju izvršiti kod prepravkom Python skripti koji se izvršavaju tokom normalnih operacija.
Preporuka Sajber Radara
Organizacije koje koriste Splunk Enterprise trebaju odmah primeniti zakrpu izdatu od strane Splunka. Korisnici AWS okruženja trebaju biti posebno pažljivi jer je ranjiva komponenta aktivna po defaultu - ažuriranje treba izvršiti hitno kako bi se sprečio mogući neovlašćeni pristup bazama podataka i izvršavanje koda.