概要
Splunk EnterpriseにCVSSスコア9.8(最高レベル)の深刻な脆弱性CVE-2026-20253が発見された。PostgreSQL sidecarサービスのエンドポイントに認証制御が欠如しており、ネットワークから到達可能な未認証ユーザーが任意のファイル操作やリモートコード実行(RCE)を行える。CISAは2026年6月18日時点で実際の悪用を確認し、Known Exploited Vulnerabilities(KEV)カタログに追加した。Binding Operational Directive 26-04に基づき、米連邦機関は6月21日(日曜日)までにパッチを適用することが義務付けられた。
技術的な詳細
watchTowr Labsが公開した技術分析によると、攻撃チェーンは以下の手順で構成される。まず /v1/postgres/recovery/backup エンドポイントを介して攻撃者が制御するデータベースの内容をファイルに書き出し、続いて /v1/postgres/recovery/restore エンドポイントで悪意あるデータベースダンプを復元する。復元処理中にSQL関数 lo_export を利用して任意のファイルを書き込み、最終的にPythonスクリプトを上書きすることでコード実行を達成する。同LabはPoC(概念実証)コードも公開しており、攻撃の再現が容易になっている。
影響を受けるバージョンと修正版
影響を受けるのはSplunk Enterprise 10.0.0〜10.0.6(修正版: 10.0.7)および10.2.0〜10.2.3(修正版: 10.2.4)。Splunk Enterprise 10.4以降とSplunk CloudはPostgreSQL sidecarを使用していないため影響を受けない。Shadowserverの調査によると、インターネット上に公開されているSplunkインスタンスは世界で1,400件以上確認されており、うち北米で952件、欧州で223件が露出している。
推奨される対策
最優先の対策は修正済みバージョンへの即時アップデートである。即時のパッチ適用が困難な場合の一時的な回避策として、PostgreSQL sidecarサービスを無効化する方法があるが、この操作によりEdge Processor、OpAmp、SPL2データパイプラインが機能しなくなる点に注意が必要だ。Splunk PSIRTは6月18日に「限定的な悪用を確認した」と発表しており、パッチ未適用のシステムはすでに攻撃対象となっているリスクが高い。連邦機関以外の組織も早急な対応が求められる。