严重 Splunk Enterprise 漏洞让攻击者无需认证即可执行代码
- 浏览次数 138
- 喜欢 0
Splunk 已发布安全更新,以修复 Splunk Enterprise 中的一个严重安全漏洞,该漏洞可能被利用来进行未经身份验证的文件操作,甚至远程代码执行。
该漏洞编号为 CVE-2026-20253,CVSS 评分系统评级为 9.8。
"在低于 10.2.4 和 10.0.7 版本的 Splunk Enterprise 中,未经身份验证的用户可以通过 PostgreSQL sidecar 服务端点创建或截断任意文件,"Splunk 在本周的警报中表示。
"该漏洞的存在是因为 PostgreSQL sidecar 服务端点缺少身份验证控制,允许任何可访问网络的用户在无需凭证的情况下调用文件操作。"
网络安全
该问题已在以下版本中得到修复:
- Splunk Enterprise 10.0.0 至 10.0.6 —— 在 10.0.7 中修复
- Splunk Enterprise 10.2.0 至 10.2.3 —— 在 10.2.4 中修复
- Splunk Enterprise 10.4 —— 不受影响
隶属于 Cisco 的 Splunk 表示,Splunk Cloud 不受该漏洞影响,因为该产品未使用 Postgres sidecar。
该漏洞的详细情况
周五,watchTowr Labs 发布了 CVE-2026-20253 的更多技术细节,在易受攻击的系统上实现未经预认证的远程代码执行。
攻击链如下:
- 连接到攻击者控制的数据库,并使用 /backup 端点将其内容转储到任意文件中
- 使用 /restore 端点,通过包含指向包含 "postgres_admin" 用户密码的 ".pgpass" 文件路径的 "passfile" 参数,将攻击者控制数据库的转储加载到本地 PostgreSQL 实例中
- 数据库转储中定义的 SQL 查询将由 Splunk 的 PostgreSQL 实例执行
攻击者可以利用这一弱点定义一个新函数,该函数使用 lo_export(一种用于从数据库中提取 BLOB 并将其保存为文件系统上的文件的函数)将攻击者控制的内容写入文件,随后该函数在恢复过程中被执行。
"至此,我们可以进行身份验证、恢复攻击者控制的 SQL 并与本地数据库交互,"安全研究人员 Piotr Bazydlo 和 Yordan Ganchev 表示。"一旦我们能够将攻击者控制的 SQL 恢复到本地 PostgreSQL 实例中,我们很快就拼凑出一个数据库转储模板,从而实现了受控文件写入。"
网络安全
在 Splunk 文件系统上获得任意文件写入原语后,攻击者可以通过覆盖 Splunk 频繁执行的 Python 脚本来包含恶意负载,从而进一步升级到远程代码执行。
完整的操作序列如下:
- 创建一个数据库并配置为允许用户无需密码即可进行身份验证,并授予其足够的权限以调用 lo_export 等函数
- 使用 /backup 端点将远程数据库的转储文件放置到 Splunk 文件系统上
- 使用 /restore 端点加载恶意数据库转储,在恢复过程中触发恶意函数的执行,并将攻击者控制的 Python 脚本写入 Splunk 文件系统
虽然目前没有证据表明该漏洞已在野外被利用,但利用细节的公开可能足以驱使威胁行为者发起机会性攻击。用户务必尽快应用修复程序以保持安全。