Windows向けSplunk Enterpriseの深刻なセキュリティ欠陥は、DLL検索順序ハイジャックを通じた局所的権限昇格攻撃に組織を晒しています。
CVE-2026-20140として追跡され、勧告SVD-2026-0205の下、この脆弱性は10.2.0、10.0.3、9.4.8、9.3.9、および9.2.12未満のバージョンに影響します。
2026年2月18日に公開され、CVSSv3.1スコアは7.7(高)で、ベクトルはCVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:Hです。問題はCWE-427(信頼できない検索パス)に由来し、バグID VULN-44060として分類されています。
ホストマシンへの低権限アクセスを持つ攻撃者は、Splunk Enterpriseが存在するシステムドライブにディレクトリを作成し、悪意のあるDLLを配置することでこれを悪用できます。
Splunkサービスが再起動すると、Windowsの予測可能な検索順序の動作により、不正なDLLをロードし、コードにSYSTEMレベルの特権を付与します。
これにより、データ流出、永続性、またはエンタープライズ環境での横方向の移動など、システム全体の完全な制御が可能になります。
コアデーモンであるSplunkdはSYSTEMとして実行され、起動時のリスクを増幅します。攻撃はローカルアクセス、特権なし、およびユーザーインタラクション(サービス再起動など)を必要としますが、機密性、完全性、および可用性の変更へのスコープ拡張により、Windowsデプロイメントに対して強力です。
Splunk EnterpriseのSplunk Webコンポーネントは特定のブランチで最も大きな影響を受けます。影響を受ける範囲には10.0.0~10.0.2、9.4.0~9.4.7、9.3.0~9.3.8、および9.2.0~9.2.11が含まれます。
組織は修正版に直ちにアップグレードする必要があります:10.2.0、10.0.3、9.4.8、9.3.9、または9.2.12以上。Windows以外のインスタンスはリスクに直面せず、深刻度は情報に低下します。
勧告では具体的な検出またはIOCが提供されておらず、プロアクティブなパッチ適用への依存を促しています。軽減策には、SplunkのWindowsインストレーションガイドに従ってパスを強化し、低権限ユーザーのシステムドライブへの書き込みアクセスを制限することが含まれます。
セキュリティチームは、特にSplunkが機密ログを取り込む監視集約型のセットアップで、パッチが当たっていないSplunkデプロイメントの環境をスキャンする必要があります。
特にセキュリティ運用センターのSplunkユーザーは、攻撃者がフィッシングまたは他のベクトルを通じて初期的な足がかりを得た場合、脅威が増加します。迅速なアップグレードは、エンタープライズログ分析ツールを対象とした悪用チェーンを防止します。
翻訳元: https://cyberpress.org/splunk-enterprise-for-windows-vulnerability/