Splunk corrige vulnerabilidad crítica RCE en Enterprise

Splunk ha lanzado actualizaciones de seguridad de emergencia para corregir una vulnerabilidad crítica en Splunk Enterprise que podría permitir a atacantes remotos ejecutar código arbitrario sin necesidad de autenticación previa. El fallo, identificado como CVE-2026-20253, recibió una puntuación CVSS de 9.8 sobre 10, la máxima calificación para vulnerabilidades críticas que representan un riesgo inmediato para las organizaciones.

La falla afecta a determinadas versiones de Splunk Enterprise y podría ser utilizada por ciberdelincuentes para realizar operaciones arbitrarias sobre archivos, comprometer bases de datos PostgreSQL integradas y, en última instancia, obtener control total sobre sistemas vulnerables.

La publicación de detalles técnicos y pruebas de concepto funcionales por parte de investigadores de seguridad ha incrementado significativamente el riesgo de explotación, haciendo que la aplicación inmediata de los parches sea una prioridad para los equipos de seguridad y administradores de sistemas.

¿Qué es CVE-2026-20253?

CVE-2026-20253 es una vulnerabilidad crítica descubierta en un componente auxiliar de PostgreSQL utilizado por Splunk Enterprise.

Según la alerta oficial de Splunk, el problema se origina porque determinados endpoints del servicio sidecar de PostgreSQL carecen de mecanismos adecuados de autenticación.

Como resultado, cualquier usuario con acceso de red al sistema afectado puede interactuar con estos servicios sin necesidad de proporcionar credenciales válidas.

Esta debilidad permite a un atacante crear, modificar o truncar archivos arbitrarios en el sistema comprometido, una capacidad que posteriormente puede utilizarse para lograr ejecución remota de código (Remote Code Execution o RCE).

Debido a la naturaleza del fallo, los atacantes pueden iniciar la explotación antes de autenticarse, eliminando una de las principales barreras de seguridad que normalmente protegen los entornos empresariales.

Versiones afectadas de Splunk Enterprise

Splunk confirmó que la vulnerabilidad afecta a las siguientes versiones:

• Splunk Enterprise 10.0.0 hasta 10.0.6.
• Splunk Enterprise 10.2.0 hasta 10.2.3.

Las correcciones están disponibles en:

• Splunk Enterprise 10.0.7.
• Splunk Enterprise 10.2.4.

La compañía también aclaró que:

• Splunk Enterprise 10.4 no está afectado.
• Splunk Cloud no es vulnerable porque no utiliza los componentes sidecar de PostgreSQL involucrados en el problema.

Esta información es especialmente importante para organizaciones que ejecutan implementaciones locales de Splunk Enterprise, ya que son las principales expuestas al riesgo.

Cómo funciona la explotación

Investigadores de watchTowr Labs publicaron un análisis detallado demostrando cómo CVE-2026-20253 puede transformarse en una cadena completa de ejecución remota de código.

La explotación gira en torno a dos endpoints vulnerables:

• /v1/postgres/recovery/backup
• /v1/postgres/recovery/restore

Estos puntos finales fueron diseñados para gestionar operaciones de respaldo y recuperación de bases de datos PostgreSQL.

Sin embargo, la ausencia de controles de autenticación permite que actores externos interactúen directamente con ellos.

El ataque comienza conectando una instancia Splunk vulnerable a una base de datos PostgreSQL controlada por el atacante.

A continuación, el endpoint de respaldo descarga información desde la base de datos remota y la almacena dentro del sistema de archivos local de Splunk.

Posteriormente, el atacante utiliza el endpoint de restauración para cargar un volcado de base de datos especialmente manipulado.

Durante este proceso, el sistema utiliza un archivo ".pgpass" interno que contiene credenciales del usuario administrativo de PostgreSQL, permitiendo que las instrucciones SQL incluidas en el volcado sean ejecutadas automáticamente.

De la manipulación de archivos a la ejecución remota de código

Lo que hace especialmente peligrosa esta vulnerabilidad es que la restauración de bases de datos permite ejecutar consultas SQL controladas por el atacante.

Los investigadores demostraron que es posible abusar de funciones avanzadas de PostgreSQL para escribir archivos arbitrarios dentro del sistema operativo.

Uno de los elementos clave del ataque es el uso de la función "lo_export", diseñada originalmente para exportar objetos binarios almacenados en bases de datos.

Mediante esta función, un atacante puede generar archivos completamente controlados dentro del sistema de archivos de Splunk.

En otras palabras, la vulnerabilidad proporciona una poderosa capacidad de escritura arbitraria que puede utilizarse para modificar componentes críticos de la aplicación.

Una vez alcanzado este punto, el salto hacia la ejecución remota de código resulta relativamente sencillo.

Cómo los atacantes obtienen control total del sistema

Los investigadores de watchTowr Labs demostraron que un atacante puede sobrescribir scripts Python legítimos utilizados regularmente por Splunk.

Uno de los ejemplos mencionados es:

/opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py

Al reemplazar este archivo por una versión maliciosa, el código del atacante se ejecutará automáticamente cuando Splunk invoque el script.

Esto permite:

• Ejecutar comandos arbitrarios.
• Instalar puertas traseras persistentes.
• Crear cuentas ocultas.
• Robar credenciales.
• Desplegar malware adicional.
• Moverse lateralmente dentro de la red corporativa.
• Comprometer completamente la infraestructura afectada.

Desde la perspectiva de un atacante, este tipo de acceso equivale prácticamente al control total del servidor.

Cadena completa de ataque

Los investigadores resumieron el proceso de explotación en varias etapas clave:

1. Preparación de una base de datos maliciosa

El atacante crea una instancia PostgreSQL configurada para aceptar conexiones sin contraseña y con permisos suficientes para ejecutar funciones avanzadas.

2. Uso del endpoint de respaldo

La instancia vulnerable de Splunk descarga un volcado desde la base de datos controlada por el atacante utilizando el endpoint de backup.

3. Restauración del volcado malicioso

El endpoint restore procesa el contenido descargado utilizando credenciales internas almacenadas en el archivo .pgpass.

4. Ejecución automática de SQL malicioso

Las consultas incluidas en el volcado ejecutan funciones diseñadas para escribir archivos arbitrarios en el sistema operativo.

5. Sobrescritura de scripts críticos

El atacante reemplaza scripts legítimos de Splunk por versiones modificadas que contienen código malicioso.

6. Ejecución remota de código

Cuando Splunk ejecuta dichos scripts, el atacante obtiene control sobre el sistema.

Riesgo para las organizaciones

Aunque actualmente no existen evidencias públicas de explotación activa en entornos reales, la situación sigue siendo extremadamente preocupante.

La disponibilidad de información técnica detallada y de pruebas de concepto funcionales reduce significativamente la barrera de entrada para ciberdelincuentes.

Históricamente, la publicación de exploits para vulnerabilidades críticas suele ser seguida por campañas de escaneo masivo y ataques oportunistas en cuestión de días o semanas.

Las organizaciones que retrasen la aplicación de los parches podrían convertirse rápidamente en objetivos de actores maliciosos que buscan comprometer sistemas expuestos a Internet.

Recomendaciones de mitigación

Los expertos recomiendan actuar de inmediato para minimizar el riesgo asociado a CVE-2026-20253.

Entre las medidas prioritarias destacan:

• Actualizar a Splunk Enterprise 10.0.7 o superior.
• Actualizar a Splunk Enterprise 10.2.4 o superior.
• Verificar que ningún endpoint PostgreSQL sea accesible desde redes no confiables.
• Revisar registros en busca de accesos inusuales a los servicios de recuperación.
• Auditar cambios recientes en archivos Python y componentes críticos de Splunk.
• Implementar segmentación de red para limitar accesos innecesarios.
• Supervisar indicadores de actividad sospechosa relacionados con PostgreSQL.

Una vulnerabilidad que exige una respuesta inmediata

La vulnerabilidad CVE-2026-20253 representa uno de los fallos más graves descubiertos recientemente en Splunk Enterprise. La combinación de acceso sin autenticación, manipulación arbitraria de archivos y capacidad de ejecución remota de código convierte este problema en una amenaza crítica para empresas que utilizan la plataforma como componente central de sus operaciones de monitoreo y seguridad.

Dado que los detalles técnicos ya son públicos y los investigadores han demostrado un método de explotación funcional, las organizaciones no deberían esperar a que aparezcan ataques masivos para actuar. Aplicar los parches disponibles y revisar los entornos afectados debe considerarse una prioridad urgente para evitar compromisos potencialmente devastadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login