Badan Keamanan Siber dan Infrastruktur AS (CISA) mendesak badan-badan federal untuk mengamankan sistem mereka pada hari Minggu dari kerentanan kritis Splunk Enterprise yang dieksploitasi dalam serangan.
Dilacak sebagai CVE-2026-20253kelemahan keamanan ini memengaruhi Splunk Enterprise (versi 10.2.0 hingga 10.2.3 dan 10.0.0 hingga 10.0.6) dan memungkinkan penyerang jarak jauh tanpa hak istimewa untuk membuat atau memotong file arbitrer pada perangkat yang rentan melalui titik akhir layanan sidecar PostgreSQL.
“Kerentanan terjadi karena titik akhir layanan sidecar PostgreSQL tidak memiliki kontrol otentikasi, sehingga memungkinkan pengguna yang dapat dijangkau jaringan untuk menjalankan operasi file tanpa kredensial,” tim keamanan Splunk kata dalam penasihat keamanan diterbitkan minggu lalu.
Pada 12 Juni, beberapa hari setelah Splunk merilis patch keamanan, WatchTowr menerbitkan artikel teknis, kode eksploitasi bukti konsep bersamadan memperingatkan bahwa kelemahan tersebut dapat disalahgunakan untuk serangan eksekusi kode jarak jauh.
Pada hari Rabu, 18 Juni, Splunk memperbarui sarannya, mendesak pelanggan untuk menambal sistem mereka sesegera mungkin karena bukti eksploitasi di alam liar.
“Pada bulan Juni 2026, Tim Respons Insiden Keamanan Produk Splunk (PSIRT) menyadari adanya eksploitasi terbatas terhadap kerentanan ini. Splunk sangat menyarankan agar pelanggan meningkatkan ke rilis perangkat lunak tetap untuk memulihkan kerentanan ini,” katanya.
Kelompok pengawas keamanan internet Shadowserver melacak lebih dari 1.400 instance Splunk yang terekspos Internetsebagian besar berasal dari Amerika Utara (952) dan Eropa (223). Namun, tidak ada informasi berapa banyak dari mereka yang rentan terhadap serangan yang sedang berlangsung yang menargetkan kelemahan CVE-2026-20253.
Pada hari Kamis, CISA dikonfirmasi bahwa pelaku ancaman kini secara aktif menyalahgunakan kerentanan CVE-2026-20253 dalam serangan dan memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB). untuk menambal instance Splunk mereka pada hari Minggu, sebagaimana diamanatkan oleh Binding Operational Directive (BOD) 26-04.
Dikeluarkan minggu laluBOD 26-04 CISA mengharuskan lembaga pemerintah AS untuk memprioritaskan patching berdasarkan risiko eksploitasi setiap kerentanan.
“Jenis kerentanan ini merupakan vektor serangan yang sering dilakukan oleh pelaku siber jahat dan menimbulkan risiko signifikan terhadap perusahaan federal,” kata badan keamanan siber tersebut kemarin. “Pemangku kepentingan bertanggung jawab untuk mengevaluasi paparan internet setiap aset dan memastikan kepatuhan terhadap pedoman patching BOD 26-04.”
Splunk juga membagikan langkah-langkah mitigasi untuk admin yang tidak dapat segera menambal sistem yang rentan, dan menyarankan mereka untuk menonaktifkan layanan sidecar PostgreSQL untuk menghilangkan permukaan serangan.
Namun, mereka juga memperingatkan bahwa menonaktifkan PostgreSQL akan merusak pipeline data Edge Processor, OpAmp, atau SPL2 pada instans yang terpengaruh.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
