Splunk ha lanzado una actualización de seguridad que soluciona una falla de seguridad crítica en Splunk Enterprise que podría explotarse para manipulación de archivos no autorizada o ejecución remota de código.
Esta vulnerabilidad se rastrea como CVE-2026-20253 y tiene una calificación de 9,8 en el sistema de puntuación CVSS.
«Las versiones de Splunk Enterprise anteriores a 10.2.4 y 10.0.7 permiten a usuarios no autenticados crear o truncar archivos arbitrarios a través del punto final del servicio secundario PostgreSQL», dijo Splunk en una advertencia esta semana.
«Esta vulnerabilidad existe porque el punto final del servicio complementario PostgreSQL carece de controles de autenticación, lo que permite a cualquier usuario con acceso a la red invocar operaciones de archivos sin credenciales».
Este problema se ha resuelto en las siguientes versiones:
Splunk Enterprise 10.0.0 – 10.0.6 – Corregido en 10.0.7 Splunk Enterprise 10.2.0 – 10.2.3 – Corregido en 10.2.4 Splunk Enterprise 10.4 – Sin impacto
Splunk, parte de Cisco, dijo que Splunk Cloud no se ve afectado por esta vulnerabilidad porque el sidecar Postgres no se utiliza en sus productos.
¿Qué es un defecto?
El viernes, watchTowr Labs publicó detalles técnicos adicionales para CVE-2026-20253, diciendo que podría explotarse para lograr la ejecución remota de código previamente autenticado en sistemas susceptibles a través de los puntos finales «/v1/postgres/recovery/backup» y «/v1/postgres/recovery/restore».
La cadena de ataque funciona de la siguiente manera.
Utiliza el punto final /backup para conectarse a una base de datos controlada por un atacante y volcar su contenido en un archivo arbitrario. El punto final /restore se utiliza para cargar un volcado de una base de datos controlada por un atacante en la instancia local de PostgreSQL, incluido un argumento «passfile» que especifica la ruta a un archivo «.pgpass» («/opt/splunk/var/packages/data/postgres/.pgpass») que contiene la contraseña para el usuario «postgres_admin». Las consultas SQL definidas en el volcado de la base de datos se ejecutan mediante la instancia PostgreSQL de Splunk.
Un atacante podría aprovechar esta vulnerabilidad definiendo una nueva función que utilice lo_export (una función utilizada para extraer BLOB de una base de datos y guardarlos como archivos en el sistema de archivos) para escribir contenido controlado por el atacante en un archivo, que luego podría ejecutarse durante el proceso de restauración.
«Actualmente, el SQL controlado por atacantes puede autenticarse, recuperarse e interactuar con bases de datos locales», dijeron los investigadores de seguridad Pyotr Bazidro y Jordan Ganchev. «Una vez que pudimos restaurar el SQL controlado por el atacante en una instancia local de PostgreSQL, creamos inmediatamente una plantilla de volcado de base de datos que nos permitió controlar las escrituras de archivos».
Un atacante podría escalar aún más a la ejecución remota de código aprovechando primitivas de escritura de archivos arbitrarios en el sistema de archivos de Splunk para sobrescribir los scripts de Python que Splunk ejecuta con frecuencia (por ejemplo, «/opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py») para incluir una carga útil maliciosa.
La secuencia completa de acciones es la siguiente:
Cree una base de datos y configúrela para que los usuarios puedan autenticarse sin contraseña y tengan privilegios suficientes para llamar a funciones como lo_export. Utilice el punto final /backup para colocar un volcado de la base de datos remota en el sistema de archivos Splunk. El punto final /restore se utiliza para cargar un volcado de base de datos malicioso, desencadenar la ejecución de una función maliciosa durante el proceso de restauración y escribir un script Python controlado por el atacante en el sistema de archivos Splunk.
Aunque no hay evidencia de que esta falla haya sido explotada en la naturaleza, la disponibilidad de detalles de la explotación podría ser suficiente para provocar intentos oportunistas por parte de actores de amenazas. Es importante que los usuarios apliquen correcciones rápidamente para mantener la protección.
Source link
