米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Splunk Enterpriseの重大な脆弱性を既知の悪用された脆弱性(KEV)カタログに追加し、連邦機関および各組織に対してこの脆弱性が実際の環境で積極的に悪用されていることを警告しています。
CVE-2026-20253として追跡されているこの欠陥は、重大な機能における認証メカニズムの欠如に関するものであり、セキュリティ情報およびイベント管理(SIEM)運用にSplunkを活用するエンタープライズ環境にとって重大なリスクをもたらしています。
CVE-2026-20253は、Splunk Enterpriseに影響する「重大な機能に対する認証欠如(CWE-306)」の脆弱性です。この欠陥は、リクエストを処理する前に認証を適用しないPostgreSQLサイドカーサービスのエンドポイントに存在しています。
認証されていないリモートの攻撃者がこの脆弱性を悪用すれば、有効な認証情報を持たないまま、影響を受けたシステム上の任意のファイルを作成または切り詰めることが可能になります。
このレベルのファイル切り詰めおよび作成機能は、ログデータの破損、セキュリティ監視パイプラインの停止、さらには権限昇格やランサムウェア展開といった後続攻撃への足がかりとなるなど、連鎖的な深刻な影響を引き起こす恐れがあります。
SplunkはSOC環境に広く展開されており、機密性の高いテレメトリデータを取り扱うことから、この脆弱性は脅威アクターにとって格好の標的となっています。CISAは積極的な悪用の証拠を根拠として、2026年6月18日にCVE-2026-20253をKEVカタログに正式追加しました。
CISAは、リスクエクスポージャーに基づくセキュリティアップデートの優先順位付けを規定し、クラウドホスト型サービス向けの具体的なパッチ適用ガイドラインを含む拘束的運用指令(BOD)26-04を発動しています。
またCISAの指令では、パッチ適用前にシステムがすでに侵害されていないかを評価するための「フォレンジックトリアージ要件」を各組織が適用することも求めています。
連邦文民行政府(FCEB)機関は、BOD 26-04に定められたスケジュールに従い、この脆弱性を修正することが義務付けられています。
緩和策をすぐに適用できない組織に対してCISAは、パッチの適用が可能になるまで当該製品の使用を中止するよう推奨しています。
現時点でCISAはランサムウェアキャンペーンとの関連を「不明」と分類していますが、エンタープライズデータプラットフォームにおける認証欠如の脆弱性は、歴史的にランサムウェア侵入チェーンの初期アクセス手段として繰り返し利用されてきました。
認証なしでファイル書き込みアクセスを取得した攻撃者は、悪意のあるスクリプトを設置したり、設定ファイルを改ざんしたり、本格的な攻撃展開に先立って永続化の仕組みを準備したりすることができます。
セキュリティチームは直ちに以下の手順を実施してください。
Splunk Enterpriseを運用している組織は、この問題を最優先の修正事項として対応し、クラウド展開固有の指示についてはCISAのBOD 26-04ガイダンスを参照することが強く求められています。
翻訳元: https://cyberpress.org/cisa-actively-exploited-splunk-enterprise/
