TokyoBlackHatNews

cyberpress.org 4分で読了

認証不要のリモートコード実行を可能にするSplunk Enterpriseの深刻な脆弱性

Splunk Enterpriseに存在する深刻な脆弱性により、当初は任意ファイル作成の欠陥として報告されていたものが、認証不要のリモートコード実行(RCE)へと深刻度が引き上げられています。

CVE-2026-20253として追跡されているこの脆弱性は、CVSSスコアの最高値である9.8を記録しています。Splunkバージョン10で導入されたPostgreSQL Sidecar Serviceに特化した影響を及ぼします。

Watchtowrによると、このサイドカーサービスはオンプレミスのWindowsデプロイメントでは既定でインストール・有効化されていませんが、AWS上でホストされているSplunk Enterpriseインスタンスでは初期状態からインストールおよび有効化されています。

CVE-2026-20253の根本原因は、ローカルのポート5435でリッスンするPostgreSQL Sidecar ServiceのAPIにあります。

攻撃者がこのローカルサービスにリモートからアクセスできる理由は、ポート8000でリッスンするSplunkのメインWebアプリケーションが内部APIへのリクエストを直接プロキシしているためです。さらに、このサイドカーサービスには認証制御が一切実装されていません。

ユーザーが/v1/postgres/recovery/backup/restoreエンドポイントにアクセスした場合、APIはHTTP認証ヘッダーに含まれるいかなる認証情報も受け入れてしまいます。

その後、提供されたユーザー名はコマンドライン引数を通じて、下層のpg_dumpまたはpg_restoreユーティリティへそのまま転送されます。

この設計上の見落としにより、認証の責任がすべてローカルのPostgreSQLデータベースに委ねられる形となり、脅威アクターはバックアップおよびリカバリの仕組みを自由に操作できてしまいます。

watchTowr Labsの研究者らは、このAPIエンドポイントが攻撃者によるデータベース引数への任意の接続文字列パラメータのインジェクションを許してしまうことを発見しました。

hostaddrパラメータを使ってデフォルトのローカルホスト接続を上書きすることで、攻撃者はSplunkインスタンスを外部の攻撃者管理下のデータベースへ強制的に接続させることができます。

完全なリモートコード実行を実現するため、脅威アクターは脆弱なエンドポイントに対して一連の精密な操作を実行することができます。

まず、/opt/splunk/var/packages/data/postgres/.pgpassファイル内に平文で保存されている有効なローカルデータベース認証情報を窃取できます。

次に、バックアップエンドポイントを通じて、悪意のあるリモートデータベースをローカルファイルシステムへダンプするようSplunkを強制できます。

続いて攻撃者は、passfileパラメータに有効なローカル認証情報を渡すことでrestoreエンドポイントを悪用し、悪意のあるデータベースダンプをローカルのPostgreSQLインスタンスへロードできます。

これにより、lo_exportを使用する組み込みSQL関数を呼び出して、攻撃者が制御するコンテンツをSplunkのファイルシステムへ直接書き込むことが可能になります。

最終的には、ssg_enable_modular_input.pyなどの頻繁に実行される内部スクリプトを悪意のあるPythonペイロードで上書きし、任意のシェルコマンドを実行することができます。

単純なファイルトランケーションのバグから完全なRCEへの移行は、CVE-2026-20253がもたらす深刻なリスクを如実に示しています。

この悪用にあたって認証が一切不要であり、メインWebアプリケーションのプロキシ経由でアクセス可能なエンドポイントが標的となるため、インターネットに公開されているSplunkインスタンス、特にAWSにデプロイされているものは、即座に侵害される高いリスクにさらされています。

管理者はSplunk Enterpriseのアーキテクチャを見直し、PostgreSQL Sidecar Serviceが自環境で有効になっているかどうかを確認することが強く推奨されます。

セキュリティチームは、watchTowrが提供するDetection Artifact Generatorを活用することで、自社のインスタンスが認証不要のAPIアクセスに対して脆弱かどうかを安全にテストできます。

パッチを完全に適用できるようになるまでの間、Splunk Webインターフェイスへのネットワークアクセスを制限し、/opt/splunk/ディレクトリ内の異常なファイル変更を監視することが、重要な暫定対策となります。

翻訳元: https://cyberpress.org/critical-splunk-enterprise-flaw/

ソース: cyberpress.org
#AWS #CVE-2026-20253 #CVSS 9.8 #PostgreSQL #Splunk Enterprise #watchTowr #サイバーセキュリティ #リモートコード実行 #脆弱性 #認証バイパス

関連記事

Chromeブラウザ拡張機能がデフォルト検索エンジンを乗っ取り、75万8,000人のクエリを収益化

悪意あるAd Blocker拡張機能が9万人のブラウザユーザーのAI会話を傍受

ハッカーがWinRARのNTFS代替データストリームを悪用——RARアーカイブ経由でマルウェアを投下