CISA drängt auf schnelle Patches für aktiv ausgenutzte Splunk-Lücke

Zusammenfassung

Die US-Behörde CISA hat Bundesbehörden angewiesen, ihre Splunk-Enterprise-Installationen bis Sonntag gegen eine kritische Schwachstelle abzusichern, die bereits in Angriffen ausgenutzt wird. Betroffen ist die als CVE-2026-20253 geführte Lücke in Splunk Enterprise 10.2.0 bis 10.2.3 sowie 10.0.0 bis 10.0.6. Nach Angaben des Splunk-Sicherheitsteams erlaubt sie es Angreifern ohne Berechtigungen, über einen Endpunkt des PostgreSQL-Sidecar-Dienstes beliebige Dateien auf verwundbaren Systemen anzulegen oder zu kürzen. Splunk hatte die Sicherheitsupdates bereits veröffentlicht und später wegen Hinweisen auf Ausnutzung unter realen Bedingungen zu besonders zügigem Patchen aufgerufen. CISA bestätigte nun ebenfalls, dass Bedrohungsakteure die Schwachstelle aktiv missbrauchen, und setzte für Behörden der Federal Civilian Executive Branch eine Frist bis Sonntag. Grundlage ist die vergangene Woche veröffentlichte Binding Operational Directive 26-04, nach der US-Regierungsstellen das Schließen von Lücken nach ihrem Ausnutzungsrisiko priorisieren müssen.

CVE-2026-20253 betrifft Splunk Enterprise in den Versionen 10.2.0 bis 10.2.3 sowie 10.0.0 bis 10.0.6. Laut dem Sicherheitshinweis von Splunk liegt das Problem darin, dass dem Endpunkt des PostgreSQL-Sidecar-Dienstes Authentifizierungskontrollen fehlen. Dadurch kann jeder Nutzer, der den Dienst über das Netzwerk erreicht, Dateioperationen ohne Zugangsdaten auslösen.

Der Hersteller hatte die Schwachstelle bereits gepatcht. Wenige Tage später veröffentlichte WatchTowr am 12. Juni eine technische Analyse, stellte Proof-of-Concept-Exploit-Code bereit und warnte, dass sich die Lücke für Angriffe zur Remotecodeausführung missbrauchen lasse.

Am Mittwoch, dem 18. Juni, aktualisierte Splunk seinen Hinweis und forderte Kunden auf, ihre Systeme so schnell wie möglich zu aktualisieren, da es Belege für Ausnutzung unter realen Bedingungen gebe. Das Splunk Product Security Incident Response Team habe im Juni 2026 von einer begrenzten Ausnutzung der Schwachstelle erfahren, teilte das Unternehmen mit. Splunk empfehle dringend den Umstieg auf eine korrigierte Softwareversion, um das Problem zu beheben.

Auch CISA bestätigte am Donnerstag, dass Angreifer die Schwachstelle inzwischen aktiv in Attacken ausnutzen. Die Behörde ordnete deshalb an, dass Behörden der Federal Civilian Executive Branch ihre Splunk-Instanzen bis Sonntag patchen müssen. Diese Vorgabe basiert auf der Binding Operational Directive 26-04, die vergangene Woche veröffentlicht wurde und US-Regierungsbehörden verpflichtet, das Patchen anhand des jeweiligen Ausnutzungsrisikos einer Schwachstelle zu priorisieren.

CISA bezeichnete diese Art von Schwachstelle als häufigen Angriffsvektor für böswillige Cyberakteure, der erhebliche Risiken für die Bundesverwaltung mit sich bringe. Zudem seien die Verantwortlichen gehalten, die Internet-Erreichbarkeit ihrer Systeme zu bewerten und sicherzustellen, dass die Patch-Vorgaben aus BOD 26-04 eingehalten werden.

Wie groß die potenziell erreichbare Angriffsfläche ist, lässt sich nur teilweise abschätzen. Die Internet-Sicherheitsgruppe Shadowserver verfolgt nach eigenen Angaben mehr als 1.400 über das Internet erreichbare Splunk-Instanzen, die meisten davon in Nordamerika mit 952 und in Europa mit 223. Unklar ist allerdings, wie viele davon für die laufenden Angriffe auf CVE-2026-20253 tatsächlich verwundbar sind.

Für Administratoren, die nicht sofort patchen können, hat Splunk zudem Abhilfemaßnahmen veröffentlicht. Empfohlen wird, den PostgreSQL-Sidecar-Dienst zu deaktivieren, um die Angriffsfläche zu entfernen. Allerdings warnt der Hersteller zugleich, dass das Abschalten von PostgreSQL auf betroffenen Instanzen die Datenpipelines von Edge Processor, OpAmp oder SPL2 unterbrechen würde.

CISA drängt auf schnelle Patches für aktiv ausgenutzte Splunk-Lücke

Ähnliche Artikel

Neueste Artikel