Lỗ hổng nghiêm trọng trong Splunk Enterprise cho phép kẻ tấn công thực thi mã mà không cần xác thực

Splunk đã phát hành các bản cập nhật bảo mật để khắc phục một lỗ hổng nghiêm trọng (CVE-2026-20253, CVSS 9.8) trong Splunk Enterprise. Lỗ hổng này cho phép kẻ tấn công chưa xác thực thực hiện các thao tác tệp tùy ý và thực thi mã từ xa (RCE) thông qua endpoint dịch vụ sidecar PostgreSQL thiếu kiểm soát xác thực.
Splunk Enterprise Security Update

Splunk đã phát hành các bản cập nhật bảo mật để khắc phục một lỗ hổng nghiêm trọng trong Splunk Enterprise. Lỗ hổng này có thể bị lợi dụng để thực hiện các thao tác tệp mà không cần xác thực và thậm chí là thực thi mã từ xa (Remote Code Execution - RCE).

Lỗ hổng này được theo dõi với mã CVE-2026-20253, đạt điểm 9.8 trên hệ thống thang điểm CVSS.

"Trong các phiên bản Splunk Enterprise dưới 10.2.4 và 10.0.7, một người dùng chưa được xác thực có thể tạo hoặc cắt ngắn các tệp tùy ý thông qua một endpoint dịch vụ sidecar PostgreSQL," Splunk cho biết trong một cảnh báo tuần này.

"Lỗ hổng tồn tại do endpoint dịch vụ sidecar PostgreSQL thiếu các kiểm soát xác thực, cho phép bất kỳ người dùng nào có thể kết nối mạng đều có thể gọi các thao tác tệp mà không cần thông tin đăng nhập."

Vấn đề đã được giải quyết trong các phiên bản sau:

  • Splunk Enterprise từ 10.0.0 đến 10.0.6 - Đã sửa trong 10.0.7
  • Splunk Enterprise từ 10.2.0 đến 10.2.3 - Đã sửa trong 10.2.4
  • Splunk Enterprise 10.4 - Không bị ảnh hưởng

Splunk, một công ty thuộc Cisco, cho biết Splunk Cloud không bị ảnh hưởng bởi lỗ hổng này do các sidecar Postgres không được sử dụng trong sản phẩm đó.

Chi tiết về lỗ hổng

Vào thứ Sáu, watchTowr Labs đã công bố thêm chi tiết kỹ thuật về CVE-2026-20253. Họ cho biết lỗ hổng có thể bị khai thác để thực thi mã từ xa trước khi xác thực trên các hệ thống dễ bị tổn thương thông qua các endpoint "/v1/postgres/recovery/backup" và "/v1/postgres/recovery/restore".

Chuỗi tấn công (attack chain) diễn ra như sau:

  • Kết nối với một cơ sở dữ liệu do kẻ tấn công kiểm soát và trích xuất (dump) nội dung của nó vào một tệp tùy ý bằng cách sử dụng endpoint /backup.
  • Tải bản dump của cơ sở dữ liệu đó vào thực thể PostgreSQL cục bộ bằng cách sử dụng endpoint /restore, bao gồm tham số "passfile" chỉ định đường dẫn đến tệp ".pgpass" ("/opt/splunk/var/packages/data/postgres/.pgpass") chứa mật khẩu cho người dùng "postgres_admin".
  • Các truy vấn SQL được định nghĩa trong bản dump cơ sở dữ liệu sẽ được thực thi bởi thực thể PostgreSQL của Splunk.

Kẻ tấn công có thể "vũ khí hóa" điểm yếu này để định nghĩa một hàm mới sử dụng lo_export. Đây là một hàm được sử dụng để trích xuất một BLOB từ cơ sở dữ liệu và lưu nó dưới dạng tệp trên hệ thống tệp, từ đó ghi nội dung do kẻ tấn công kiểm soát vào một tệp, sau đó hàm này sẽ được thực thi trong quá trình khôi phục.

"Tại thời điểm này, chúng tôi có thể xác thực, khôi phục SQL do kẻ tấn công kiểm soát và tương tác với cơ sở dữ liệu cục bộ," các nhà nghiên cứu bảo mật Piotr Bazydlo và Yordan Ganchev cho biết. "Khi đã có thể khôi phục SQL vào PostgreSQL cục bộ, chúng tôi nhanh chóng tạo ra một mẫu dump cơ sở dữ liệu cho phép ghi tệp có kiểm soát."

Với khả năng ghi tệp tùy ý trên hệ thống tệp của Splunk, kẻ tấn công có thể leo thang hơn nữa để thực thi mã từ xa bằng cách ghi đè lên một tập lệnh Python mà Splunk thường xuyên thực thi (ví dụ: "/opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py") để chèn mã độc.

Trình tự hành động đầy đủ như sau:

  • Tạo một cơ sở dữ liệu và cấu hình sao cho người dùng có thể xác thực mà không cần mật khẩu và cấp cho nó đủ quyền để gọi các hàm như lo_export.
  • Sử dụng endpoint /backup để thả bản dump của cơ sở dữ liệu từ xa lên hệ thống tệp của Splunk.
  • Sử dụng endpoint /restore để tải bản dump cơ sở dữ liệu độc hại, kích hoạt việc thực thi hàm độc hại trong quá trình khôi phục và ghi một tập lệnh Python do kẻ tấn công kiểm soát vào hệ thống tệp của Splunk.

Mặc dù chưa có bằng chứng cho thấy lỗ hổng này bị khai thác trong thực tế, nhưng việc công khai các chi tiết khai thác có thể thúc đẩy các tác nhân đe dọa thực hiện các nỗ lực tấn công cơ hội. Người dùng cần nhanh chóng áp dụng các bản vá để duy trì sự bảo vệ.