米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、実際の攻撃で悪用されているSplunk Enterpriseの重大な脆弱性に対し、日曜日までにシステムを保護するよう連邦機関に求めました。
CVE-2026-20253として追跡されているこの脆弱性は、Splunk Enterprise(バージョン10.2.0〜10.2.3および10.0.0〜10.0.6)に影響を与えます。権限を持たないリモート攻撃者が、PostgreSQLサイドカーサービスのエンドポイントを通じて、脆弱なデバイス上の任意のファイルを作成または切り詰めることを可能にします。
「この脆弱性は、PostgreSQLサイドカーサービスのエンドポイントに認証制御が欠如しているために発生しており、ネットワークからアクセス可能なユーザーであれば誰でも、認証情報なしにファイル操作を呼び出すことができます」と、Splunkのセキュリティチームは先週公開したセキュリティアドバイザリで述べています。
6月12日、Splunkがセキュリティパッチをリリースしてからわずかの日後、WatchTowrは技術的な詳細をまとめたレポートを公開し、概念実証(PoC)エクスプロイトコードを共有するとともに、この脆弱性がリモートコード実行攻撃に悪用される可能性があると警告しました。
6月18日水曜日、Splunkはアドバイザリを更新し、実際の悪用が確認されたことを受け、できるだけ早くシステムにパッチを適用するよう顧客に強く求めました。
「2026年6月、SplunkのProduct Security Incident Response Team(PSIRT)は、この脆弱性が限定的に悪用されていることを把握しました。Splunkは、この脆弱性を修正するため、セキュリティ修正済みのソフトウェアリリースへのアップグレードを顧客に強く推奨します」と声明で述べています。
インターネットセキュリティ監視グループのShadowserverは、1,400を超えるインターネット公開Splunkインスタンスを追跡しており、その大部分は北米(952件)とヨーロッパ(223件)に集中しています。ただし、CVE-2026-20253を標的とした継続的な攻撃に対して、これらのうち何件が脆弱であるかは明らかになっていません。
木曜日、CISAは、脅威アクターがCVE-2026-20253の脆弱性を攻撃で積極的に悪用していることを確認し、Binding Operational Directive(BOD)26-04の規定に基づき、連邦文民行政機関(FCEB)に対して日曜日までにSplunkインスタンスへのパッチ適用を命じました。
攻撃者より先にすべての層をテストする
セキュリティチームが記録できる攻撃成功の割合は54%、アラートが発生するのはわずか14%です。残りの攻撃は、環境内を検知されることなく進行しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMおよびEDRのルールをどのようにテストし、脅威が検知をすり抜けるのを防ぐかを詳しく解説しています。
