Giriş
Splunk, Splunk Enterprise’de ciddi bir güvenlik açığını kapatmak için güncellemeler yayımladı; bu açık, yetkisiz dosya işlemleri ve uzaktan kod çalıştırma yapılmasına olanak tanıyor. Bu açık, CVSS puanlama sisteminde 9.8 olarak değerlendirilmekte ve acil müdahale gerektirmektedir.
Saldırı Nasıl Çalışıyor?
Vulnerability (zayıflık) CVE-2026-20253 koduyla takip edilmektedir. Splunk Enterprise sürümleri 10.2.4 ve 10.0.7 öncesinde, yetkilendirilmemiş bir kullanıcı, PostgreSQL yan hizmeti üzerinden keyfi dosyalar oluşturabilir veya aktarabilir. Bu durum, PostgreSQL yan hizmetinin kimlik doğrulama kontrollerinin eksikliğinden kaynaklanmaktadır ve ağ üzerinde erişilebilen herhangi bir kullanıcı tarafından dosya işlemlerinin yetkisiz bir şekilde başlatılmasına olanak tanımaktadır.
Güvenlik araştırmacıları, CVE-2026-20253‘ün ön oturum açma ile uzaktan kod yürütme gerçekleşebileceğini ifade etti; bu durum, aşağıdaki yollarla gerçekleşebilir:
- Saldırganın kontrolündeki bir veritabanına bağlanarak içeriklerini keyfi bir dosyaya dökmesi için /backup uç noktasını kullanması.
- /restore uç noktasını kullanarak saldırganın kontrolündeki veritabanının yedeğini yerel PostgreSQL örneğine yüklemesi.
- Veritabanı dökümünde tanımlı SQL sorgularının Splunk’ın PostgreSQL örneği tarafından yürütülmesi.
Bu zayıflık, bir saldırganın belirli işlevler tanımlamasına olanak tanır; örneğin, sistemdeki dosya sistemine yazmak için kullanılan bir lo_export işlevi tanımlamak. Bu işlev, saldırganın kontrolündeki içeriği bir dosyaya yazmak için kullanılabilir.
Etkilenen Sistemler
Açığın etki alanı şunlardır:
- Splunk Enterprise 10.0.0’dan 10.0.6’ya kadar – 10.0.7 ile düzeltildi
- Splunk Enterprise 10.2.0’dan 10.2.3’e kadar – 10.2.4 ile düzeltildi
- Splunk Enterprise 10.4 – Etkilenmemiştir
Splunk, Cisco’nun bir parçasıdır ve Splunk Cloud’un bu güvenlik açığından etkilenmediğini belirtmiştir; çünkü bu ürün PostgreSQL yan hizmetlerini kullanmamaktadır.
Çözüm ve Korunma
Kullanıcıların aşağıdaki adımları izleyerek sistemlerini güvence altına alması son derece önemlidir:
- Splunk Enterprise 10.0.7 veya 10.2.4 sürümüne güncelleyin.
- Ağ üzerindeki PostgreSQL yan hizmetine erişimi kısıtlayın.
- Güvenlik yapılandırmalarınızı gözden geçirin ve gerekli yetkilendirme kontrollerini uyguladığınızdan emin olun.
Sonuç
Kullanıcıların bu güvenlik açığını ciddiye alarak, belirtilen güncellemeleri gerçekleştirmesi ve ağ üzerindeki erişimleri sıkı bir şekilde denetlemesi gerekmektedir. Açığın kötüye kullanılma potansiyeli sebebiyle, hızlı bir şekilde harekete geçmek elzemdir.
