CISA: Splunk Enterprise flaw actively exploited, patch by Sunday
Mis à jour :
Urgence de sécurité : Exploitation active de Splunk Enterprise
La CISA a ordonné aux agences fédérales américaines de sécuriser leurs systèmes d’ici dimanche en raison de l’exploitation active d’une vulnérabilité critique dans Splunk Enterprise.
Points clés :
- Vulnérabilité : Absence de contrôle d’authentification sur le point de terminaison du service “sidecar” PostgreSQL.
- Impact : Permet à un attaquant non authentifié d’effectuer des opérations sur des fichiers arbitraires (création ou tronquage), pouvant mener à une exécution de code à distance (RCE).
- Contexte : Plus de 1 400 instances Splunk sont exposées sur Internet, principalement en Amérique du Nord et en Europe. Des preuves de concept (PoC) sont publiquement disponibles, facilitant les attaques.
Vulnérabilité identifiée :
- CVE-2026-20253 : Concerne Splunk Enterprise versions 10.0.0 à 10.0.6 et 10.2.0 à 10.2.3.
Recommandations :
- Mise à jour prioritaire : Appliquer immédiatement les correctifs fournis par Splunk vers une version corrigée.
- Atténuation temporaire : Si le patch ne peut être déployé immédiatement, désactiver le service “sidecar” PostgreSQL.
- Attention : Cette mesure entraînera la rupture des fonctionnalités Edge Processor, OpAmp et des pipelines de données SPL2.