Splunk Enterpriseに、認証なしでリモートコード実行(RCE)を許してしまう極めて深刻なセキュリティ脆弱性「CVE-2026-20253」が発見されました。この欠陥は、共通脆弱性評価システム(CVSS)で最高レベルに近い9.8と評価されており、迅速なパッチ適用が強く推奨されています。
Splunk Enterpriseの脆弱性概要と影響
この脆弱性は、Splunk Enterpriseの特定のバージョンに存在するPostgreSQLサイドカーサービスのエンドポイントに認証制御が欠如していることに起因します。これにより、ネットワーク経由でアクセス可能な攻撃者は、認証情報なしに任意のファイル操作を実行できる状態でした。
セキュリティ企業watchTowr Labsが公開した詳細な技術情報によると、攻撃者は「/v1/postgres/recovery/backup」および「/v1/postgres/recovery/restore」エンドポイントを悪用することで、認証前段階でのリモートコード実行が可能になるとされています。
影響を受けるバージョンと対応状況
今回の脆弱性の影響を受けるSplunk Enterpriseのバージョンは以下の通りです。
- Splunk Enterprise 10.0.0から10.0.6(バージョン10.0.7で修正済み)
- Splunk Enterprise 10.2.0から10.2.3(バージョン10.2.4で修正済み)
なお、Splunk Enterprise 10.4は本脆弱性の影響を受けません。また、Cisco傘下のSplunkによると、Splunk Cloud製品ではPostgreSQLサイドカーが使用されていないため、この脆弱性の影響は受けないとのことです。
攻撃チェーンの技術的詳細
watchTowr Labsの研究者らは、この脆弱性を悪用した攻撃がどのように機能するかを詳細に解説しています。攻撃者は以下の手順でリモートコード実行を達成する可能性があります。
- 攻撃者制御下のデータベースに接続し、「/backup」エンドポイントを利用してその内容を任意のファイルにダンプします。
- 「/restore」エンドポイントを使用し、攻撃者制御下のデータベースのダンプをローカルのPostgreSQLインスタンスにロードします。この際、「.pgpass」ファイルへのパスを指定する「passfile」引数を含めることで、特定ユーザーのパスワードを悪用します。
- データベースダンプ内に定義されたSQLクエリがSplunkのPostgreSQLインスタンスによって実行されます。
このプロセスにおいて、攻撃者は「lo_export」関数(データベースからBLOBを抽出しファイルとして保存する機能)を利用して、攻撃者制御下のコンテンツをファイルに書き込む新しい関数を定義できます。この関数は復元プロセス中に実行され、Splunkのファイルシステム上に任意のファイルを書き込むことが可能になります。
さらに、この任意のファイル書き込みの脆弱性を利用して、Splunkが頻繁に実行するPythonスクリプト(例:「/opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py」)を悪意のあるペイロードで上書きすることで、リモートコード実行へとエスカレートさせることが可能です。
IT管理者が取るべき対策
この脆弱性は認証なしで利用可能であり、攻撃チェーンの詳細が公開されたことで、脅威アクターがこれを悪用した攻撃を試みる可能性が高まっています。現時点では、この脆弱性が実際に悪用されたという証拠は確認されていませんが、潜在的なリスクは非常に大きいと言えます。
Splunk Enterpriseの利用者は、システムへの不正アクセス、データ漏洩、さらにはシステム全体の乗っ取りといった重大な被害を避けるため、速やかに提供されたセキュリティアップデートを適用することが不可欠です。組織のセキュリティ担当者は、影響を受けるバージョンを使用しているシステムを特定し、緊急でパッチ適用計画を実行する必要があります。
まとめ
Splunk Enterpriseにおける今回の極めて深刻な脆弱性「CVE-2026-20253」は、企業が直面するサイバーセキュリティリスクの大きさを改めて浮き彫りにしました。認証なしでのリモートコード実行は、攻撃者にとって非常に魅力的な標的となり得るため、関連するシステムを運用している組織は、遅滞なく修正プログラムを適用し、システムの安全性を確保することが最優先事項です。
