Lỗ Hổng Nghiêm Trọng Trong Splunk Enterprise Cho Phép Thực Thi Mã Từ Xa Không Cần Xác Thực

[Nguyễn Tiến Đạt]

Splunk vừa phát hành các bản vá bảo mật để khắc phục lỗ hổng nghiêm trọng CVE-2026-20253 trong Splunk Enterprise, có thể cho phép kẻ tấn công thực hiện các thao tác tệp tùy ý và thậm chí dẫn đến thực thi mã từ xa (RCE) mà không cần xác thực.

Lỗ hổng được chấm 9.8/10 điểm CVSS, ảnh hưởng đến các phiên bản Splunk Enterprise trước 10.0.7 và 10.2.4. Theo Splunk, nguyên nhân xuất phát từ việc các điểm cuối PostgreSQL sidecar thiếu cơ chế xác thực, cho phép bất kỳ ai có quyền truy cập mạng đều có thể thực hiện các thao tác trên hệ thống tệp.

Các nhà nghiên cứu từ watchTowr Labs cho biết lỗ hổng có thể bị khai thác thông qua hai điểm cuối /v1/postgres/recovery/backup và /v1/postgres/recovery/restore. Bằng cách tải một bản sao lưu cơ sở dữ liệu độc hại, kẻ tấn công có thể thực thi các truy vấn SQL do mình kiểm soát, ghi tệp tùy ý lên hệ thống và cuối cùng ghi đè các tập lệnh Python được Splunk thực thi định kỳ để triển khai mã độc.

Các phiên bản bị ảnh hưởng bao gồm:

• Splunk Enterprise 10.0.0 – 10.0.6 (đã vá trong 10.0.7)
• Splunk Enterprise 10.2.0 – 10.2.3 (đã vá trong 10.2.4)

Phiên bản Splunk Enterprise 10.4 và dịch vụ Splunk Cloud không bị ảnh hưởng do không sử dụng PostgreSQL sidecar.

Hiện chưa ghi nhận trường hợp khai thác thực tế, tuy nhiên việc chi tiết kỹ thuật khai thác đã được công khai làm gia tăng nguy cơ các cuộc tấn công cơ hội. Splunk khuyến nghị khách hàng cập nhật lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu rủi ro.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview