CISAは、Splunk Enterpriseに存在する重大な脆弱性 CVE-2026-20253 について、積極的な悪用の証拠が確認されたとして既知の悪用脆弱性(KEV)カタログへの掲載を行い、緊急警告を発令しました。
この脆弱性はCWE-306(重要な機能に対する認証の欠如)に分類されており、PostgreSQLサイドカーサービスのエンドポイントを通じて不正なファイル操作が可能になるものです。エンタープライズ環境における侵害リスクを大幅に高める危険な欠陥となっています。
Splunk Enterpriseの重大な脆弱性
勧告によると、この脆弱性を悪用することで、有効な認証情報を持たない攻撃者が任意のファイルを作成または切り詰め(truncate)することが可能になります。これはSplunk Enterpriseの重要なバックエンド機能において、アクセス制御が適切に実施されていないことに起因しています。
攻撃は内部処理のサポートを目的とするPostgreSQLサイドカーサービスを悪用する手口で行われますが、このサービスは適切なセキュリティ対策が施されていない場合、意図せず機密性の高い機能を外部に露出させてしまいます。
悪用に成功した攻撃者は、システムファイルの改ざんやログパイプラインの破壊を行うほか、デプロイメント構成によっては権限昇格へとつながる可能性もあります。
CISAはCVE-2026-20253が特定のランサムウェアキャンペーンに直接関連しているとの断定はまだ行っていませんが、特にインターネットに公開されたSplunkの展開環境においては、攻撃対象として高リスクであることを強調しています。
Splunkはセキュリティオペレーションセンター(SOC)やSIEM環境、ログ集約基盤として広く使用されているため、悪用が発生した場合、影響を受ける組織の可視性・検知能力・インシデント対応能力に対して連鎖的な打撃を与える恐れがあります。
この脆弱性は2026年6月18日にCISAのKEVカタログへ正式に追加され、拘束的運用指令(BOD)26-04に基づく対応期限は2026年6月21日に設定されています。
この指令は、連邦機関に対してリスクの深刻度と悪用状況を考慮した優先的な脆弱性対処を義務付けるものです。組織はBOD 26-04およびCISAのフォレンジック・トリアージ要件への準拠を確実にするため、ベンダーが提供するパッチや緩和策を直ちに適用することが強く推奨されています。
セキュリティチームは、特にインターネットからアクセス可能な環境や重要インフラと連携しているSplunk展開について、潜在的な露出リスクを洗い出すための徹底した評価を実施してください。
即時パッチ適用が困難な場合、CISAは影響を受けるサービスへのアクセス制限、ネットワークセグメンテーションの実施、および攻撃対象領域を縮小するための脆弱なシステムの一時停止を推奨しています。
また、防御担当者は侵害の痕跡として、不審なファイルの作成または切り詰めイベント、PostgreSQLサイドカーの異常な動作、Splunkの設定変更やログデータの整合性に関する予期しない変化を監視する必要があります。
この脆弱性の性質上、攻撃者は検知を回避するためにログの消去や改ざんを試みる可能性があるため、プロアクティブな監視とフォレンジック対応の準備が不可欠です。
今回の脆弱性は、特にアシスタントサービスを通じて公開されるエンタープライズソフトウェアコンポーネントにおいて、認証制御の不備が引き起こすリスクの深刻さを改めて浮き彫りにするものです。脅威アクターがセキュリティ運用を盲目化するためにオブザーバビリティ・ロギング基盤を標的にするケースが増加している現状において、適時なパッチ適用と厳格なアクセス制御が悪用への最重要な防御手段であることは変わりません。
翻訳元: https://gbhackers.com/cisa-issues-alert-on-critical-splunk-enterprise-bug/
