新たな Splunk Windows 脆弱性により権限昇格攻撃が可能に

新たに公開された Windows 向け Splunk の重大な脆弱性により、インストールおよびアップグレード時に適用されるファイル権限の誤設定を悪用して、ローカルユーザーが権限を昇格できる可能性があります。

この問題は Splunk Enterprise と Universal Forwarder の両方に影響し、攻撃者が機密ファイルを上書きしてシステム権限を取得するための経路を生み出します。

Splunk Enterprise の脆弱性は「…マシン上の非管理者ユーザーにディレクトリおよびそのすべての内容へのアクセスを許可してしまう」と Splunk はアドバイザリで述べています。

Splunk の権限設定の欠陥の内側

CVE-2025-20386（Splunk Enterprise に影響）および CVE-2025-20387（Splunk Universal Forwarder に影響）の脆弱性は、Splunk の Windows インストーラーによって適用される不適切な権限設定に起因します。

新規インストールとバージョンアップのいずれにおいても、インストーラーが Splunk のデフォルトインストールディレクトリに対して過度に広い NTFS アクセス権を付与し、本来保護されるべきファイルに対して非管理者ユーザーに読み書き権限を与えてしまう可能性があります。

これらのディレクトリには、以下のような高リスクのコンポーネントが含まれます。

これらの資産への書き込み権限を持つ認証済みの低権限ユーザーは、次のことが可能になります。

Splunk サービスは通常 LocalSystem レベル の権限で動作するため、サービスが読み込む不正なファイルは即座に権限昇格と基盤となるホストの完全な侵害につながります。

Splunk は、機密性・完全性・可用性が完全に失われる可能性があるとして、この欠陥を CVSS 8.0 と評価しています。

悪用には認証済みユーザーが必要であるものの、多くのエンタープライズ環境では内部アクセスが広く許可されているため、実際の運用環境における悪用のハードルは大幅に低くなる可能性があります。

攻撃者は、誤った権限設定を悪用してバイナリを置き換えたり、悪意あるスクリプトを注入したり、SYSTEM への権限昇格を行ったりできるため、Splunk のディレクトリとサービスを保護することが不可欠です。

Splunk Enterprise と Universal Forwarder を、修正済みの最新バージョンにできるだけ早くパッチ適用する。
Splunk ディレクトリの NTFS 権限を制限し、管理者のみがバイナリ、設定ファイル、スクリプトを変更できるようにする。
アプリケーションの許可リスト（ホワイトリスト）を実装し、Splunk ディレクトリ内での未承認実行ファイルの実行をブロックする。
Splunk サービスを最小権限アカウントで実行し、Splunk サーバーへの対話型ログオンを制限する。
Splunk のパスを EDR やファイル整合性監視ツールでモニタリングし、未承認の変更や不審な子プロセスを検知する。
すべての Splunk 導入環境で設定の整合性を検証し、ディレクトリ権限、アプリ、フォワーダー設定を確認する。
Splunk インフラをセグメント化し、監視を行って、Splunk システムを起点とする ラテラルムーブメント や権限昇格の試みを検出する。

これらのコントロールを実装することで、組織は Splunk の Windows コンポーネント内での権限昇格リスクを低減し、試みられた侵害の被害範囲を効果的に限定できます。

脅威アクターが、防御側の目をくらませて永続化を得るために、ログパイプライン、SIEM ツール、テレメトリインフラを標的とするケースが増加する中、これら基盤システムの保護は極めて重要になっています。

権限境界のわずかな隙間であっても、攻撃者にとってはアクセスをエスカレートし、検知を回避し、ネットワーク内を横移動するための足掛かりとなり得ます。

このような脆弱性は、現代のセキュリティ戦略が、基盤レベルから ゼロトラスト を採用すべきであることを改めて浮き彫りにしています。