Splunk Enterpriseの脆弱性、認証情報窃取・パストラバーサル・SPL悪用を可能に

Splunkは、Splunk EnterpriseおよびSplunk Cloud Platformに影響する3件の脆弱性に対するパッチを公開しました。その中には、Deployment Serverに存在する深刻度の高いCSRF脆弱性と、アプリインストールのワークフローに存在するパストラバーサルの不具合が含まれています。

最も深刻な問題はCVE-2026-20296として追跡されており、CVSSv3.1スコアは8.3です。この脆弱性は、Splunk Web内のDeployment ServerエンドポイントへのGETリクエストに対してCSRFトークンの検証が行われていないことに起因します。

この不具合(アドバイザリSVD-2026-0702、CWE-352)により、攻撃者はlist_deployment_server権限を持つロールを保有する被害者をフィッシングによって誘導し、本人が気づかないうちに任意のSearch Processing Language(SPL)検索を実行させることが可能になります。

これらの検索はsplunk-system-userとして実行されるため、攻撃が成功すると保存された認証情報やインデックス化されたデータが漏えいする恐れがあります。

この脆弱性の悪用にはユーザー操作が必要であり、攻撃者が任意のタイミングで悪用できるわけではありません。まず被害者を騙して、ブラウザ経由で悪意あるリクエストを実行させる必要があります。

この不具合は、Splunk Enterpriseのバージョン10.4.1、10.2.5、10.0.8、9.4.13より前のバージョン、および複数のSplunk Cloud Platformビルドに影響します。

Splunkはこの問題を発見した自社の研究者に謝辞を述べ、パッチ適用済みバージョンへのアップグレードを推奨しています。回避策として、Splunk Webを必要としない組織であれば、これを完全に無効化することで攻撃対象領域を排除できます。

2つ目の深刻度の高い問題であるCVE-2026-20297(SVD-2026-0703、CWSS 7.2、CWE-22)は、App InstallのRESTエンドポイントにあるexplicit_appnameパラメータを介したパストラバーサル脆弱性です。

edit_local_appsinstall_appsの両方の権限を持つロールを保有するユーザーは、インストールパスを操作することで、意図されたアプリディレクトリの外側にファイルを書き込み、代わりに$SPLUNK_HOME/etc/やそのサブディレクトリにファイルを配置できる可能性があります。

この権限昇格の経路が注目される理由は、高い権限(PR:H)を必要とする一方でユーザー操作は不要であり、影響が機密性・完全性・可用性の全てに及ぶ点です。これは、攻撃者が機密性の高いシステムの場所に悪意あるファイルを設置できる可能性を示唆しています。

Splunkはこの問題に対して有効な緩和策や回避策を見つけられておらず、バージョンアップグレードのみが唯一の対処法となっています。影響を受けるバージョンはCSRFのアドバイザリと同じであり、修正版は10.4.1、10.2.5、10.0.8、9.4.13、9.3.14、および対応するCloud Platformのビルドで提供されています。

今回の一連の開示の締めくくりとなるのがCVE-2026-20298(SVD-2026-0704、CVSSv3.1 5.3、CWE-200)です。これは中程度の深刻度の情報漏えいの不具合で、/servicesNS/-/-/storage/passwordsのRESTエンドポイントに影響します。

管理者権限やパワーユーザー権限を持たない低権限ユーザーでも、|restというSPLコマンドを使うことで、保存された認証情報のencr_passwordハッシュを閲覧できてしまいます。これは、このエンドポイントが検索結果からこのフィールドを除外する処理を怠っているためです。

他の2件のアドバイザリとは異なり、この問題には2段階の対処が必要です。まずパッチ適用済みのSplunk Enterpriseバージョンにアップグレードし、その後limits.confを手動で編集して[storage_passwords_masking]スタンザの下にmask_encr_password = trueを設定し、再起動を行う必要があります。

自社管理でSplunk Enterpriseを運用しているセキュリティチームは、パッチ適用を優先すべきです。特にCSRFとパストラバーサルの問題は深刻度が高く、権限昇格やデータ漏えいにつながる可能性があるため注意が必要です。主な対策は以下の通りです。

より強固なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCから得られるライブ脅威フィードを統合

翻訳元: https://cyberpress.org/splunk-enterprise-flaws/

ソース: cyberpress.org