Splunk Enterpriseに脆弱性、保存済み認証情報の窃取や任意のSPL検索実行のおそれ

SplunkはSplunk Enterpriseに存在する3件の脆弱性とSplunk Cloud Platformに対するセキュリティアップデートを公開しました。

Securityawareness training

これらの脆弱性は、保存されている認証情報のハッシュ値が露出したり、任意のSearch Processing Language(SPL)検索が実行可能になったり、想定されたアプリケーションディレクトリの外にファイルが書き込まれたりする可能性があります。

CVE-2026-20296CVE-2026-20297CVE-2026-20298として追跡されているこれらの脆弱性は、2026年7月15日に公表されました。影響を受けるリリースのSplunk Enterpriseを運用している組織は、特にSplunk WebおよびDeployment Server機能を有効にしている場合、アップグレードを優先的に行う必要があります。

Splunk Enterpriseの脆弱性

  • CVE-2026-20296― Deployment Serverに存在する深刻度「高」のクロスサイトリクエストフォージェリ(CSRF)およびSPLインジェクションの問題。権限を持つ被害者が攻撃者の制御下にあるSPLをsplunk-system-userとして実行させられてしまう
  • CVE-2026-20297― App Install RESTエンドポイントに存在する深刻度「高」のパストラバーサルの欠陥。app-installの権限を持つユーザーが$SPLUNK_HOME/etc/ディレクトリおよびそのサブディレクトリ配下にファイルを書き込めてしまう
  • CVE-2026-20298―深刻度「中」の情報漏えいの問題。低権限の特定ユーザーが、storage/passwords RESTエンドポイントおよび| rest SPLコマンドを通じて、保存されている認証情報のハッシュ値を取得できてしまう

最も深刻な問題であるCVE-2026-20296は、Splunkのアドバイザリ SVD-2026-0702で説明されており、Splunk WebのDeployment Serverエンドポイントに影響します。認証されていない攻撃者は、list_deployment_server権限を持つユーザーに、細工したブラウザリクエストを開かせたり実行させたりすることで、この脆弱性を悪用できます。

Splunkによると、影響を受けるGETリクエストはCSRFトークンを検証しておらず、ユーザーが入力した値もSPL検索に使用される前に適切にサニタイズされていません。

この組み合わせにより、攻撃者は被害者のブラウザセッション内で、splunk-system-userとして任意のSPL検索を実行できてしまいます。悪用に成功すると、インデックス化されたデータや保存済み認証情報が露出するおそれがあります。

また、権限が昇格したシステムコンテキスト内の情報が改ざんされる可能性もあります。この攻撃はユーザーの操作を必要とするため、攻撃者が成功させるにはフィッシングやソーシャルエンジニアリングによる働きかけが必要です。Splunkは、被害者をだましてリクエストを実行させない限り、この脆弱性は悪用できないと指摘しています。

アドバイザリSVD-2026-0704で詳しく説明されているCVE-2026-20298は、/servicesNS/-/-/storage/passwords RESTエンドポイントに影響します。管理者権限やpower権限を持たない低権限ユーザーでも、| rest SPLコマンドを通じてこのエンドポイントを呼び出すことで、encr_passwordフィールドを取得できます。

このフィールドには保存された認証情報のハッシュ値が含まれており、オフラインでのパスワードクラッキングの試みのリスクをもたらし、これらの秘密情報が漏えいした場合にはより広範なアクセスにつながる可能性があります。

Splunk Enterpriseでは、管理者はアップグレードを行った上で、limits.confファイルにおいて以下のようにパスワードマスキングを明示的に有効にする必要があります。

[storage_passwords_masking]
mask_encr_password = true

その後、Splunk Enterpriseインスタンスを再起動する必要があります。Splunkは、管理型のSplunk Cloud Platformインスタンスについてもパッチを適用する予定です。

3つ目の脆弱性であるCVE-2026-20297は、App Install RESTのAPIワークフロー内に存在するパストラバーサルの問題です。edit_local_appsとinstall_appsの両方の権限を持つユーザーは、正規のアプリインストール作業中にexplicit_appnameパラメータを悪用することで、指定されたアプリケーションディレクトリの外にファイルを書き込むことができます。これにより、どの書き込み可能なファイルやデプロイメント制御が存在するかによっては、設定の改ざんや永続化が可能になるおそれがあります。

Splunk Enterpriseのユーザーは、サポート対象のリリースブランチに応じて、10.4.110.4.110.4.1、10.2.510.2.510.2.5、10.0.810.0.810.0.8、9.4.139.4.139.4.13、またはそれ以降のバージョンにアップデートする必要があります。CVE-2026-20297の影響を受けるバージョン9.39.39.3を実行している環境では、バージョン9.3.149.3.149.3.14が必要です。

パストラバーサルや認証情報漏えいの脆弱性には、必要なパッチを適用する以外の回避策はありません。CVE-2026-20296については、直ちにパッチを適用できない組織は、運用上可能であればSplunk Webを無効化することを検討するとよいでしょう。管理者は、list_deployment_server、edit_local_apps、install_appsの各権限の割り当てを信頼できるユーザーに限定し、見直しを行うとともに、不審なREST活動、アプリインストールのリクエスト、権限昇格を伴うSPL実行を監視する必要があります。

 脅威検知と迅速な調査を加速し、SOCを強化しましょう。 -> ANY.RUNをSOCに統合する こちらから今すぐ。

ComputerSecurity

翻訳元: https://gbhackers.com/splunk-enterprise-flaws-expose-stored-credentials/

ソース: gbhackers.com