A CISA emitiu um alerta de alta prioridade alertando as organizações sobre uma vulnerabilidade crítica no Splunk Enterprise que está sendo explorada ativamente na natureza. A falha, rastreada como CVE-2026-20253, foi adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA, sinalizando risco imediato para ambientes empresariais.
Detalhes técnicos da vulnerabilidade
De acordo com a CISA, a vulnerabilidade decorre de um mecanismo de autenticação ausente para uma função crítica dentro do Splunk Enterprise. Especificamente, o problema afeta um endpoint de serviço sidecar PostgreSQL, que atacantes não autenticados podem abusar. A exploração bem-sucedida permite que atores de ameaça criem ou truncam arquivos arbitrários nos sistemas afetados, potencialmente causando interrupção operacional severa ou comprometimento adicional.
A falha é categorizada sob CWE-306 (Autenticação Ausente para Função Crítica), uma classe de vulnerabilidades que continua a representar riscos significativos devido a controles de acesso inadequados em operações sensíveis. Neste caso, os atacantes não requerem credenciais válidas para explorar o problema, aumentando dramaticamente sua severidade e tornando as instâncias expostas à internet particularmente vulneráveis.
Impacto e alcance
Embora nenhuma campanha de ransomware tenha sido confirmada, a CISA enfatizou que a vulnerabilidade apresenta alto risco devido à facilidade de exploração e impacto potencial. Os atacantes poderiam aproveitar as capacidades de criação ou exclusão de arquivos arbitrários para manipular o comportamento do sistema, interromper mecanismos de log ou preparar payloads adicionais.
A CISA adicionou o CVE-2026-20253 ao seu catálogo KEV em 18 de junho de 2026 e mandou a remediação sob a Diretiva Operacional Vinculante (BOD) 26-04. As agências federais são obrigadas a abordar a vulnerabilidade até 21 de junho de 2026, destacando a urgência da ameaça.
Medidas de mitigação recomendadas
A diretiva prioriza o patching rápido de vulnerabilidades exploradas ativamente que representam um risco significativo para redes federais. As equipes de segurança são fortemente aconselhadas a seguir as orientações de mitigação fornecidas pelo fornecedor Splunk. As organizações devem avaliar imediatamente se suas implantações do Splunk Enterprise estão expostas à internet e aplicar atualizações ou mitigações necessárias.
Se os patches não estiverem disponíveis ou não puderem ser aplicados a tempo, a CISA recomenda descontinuar o uso do produto afetado até que possa ser seguro. Além disso, a CISA instou as partes interessadas a seguir seus Requisitos de Triagem Forense para detectar comprometimento potencial. Isso inclui revisar logs, monitorar atividade incomum de arquivos e identificar tentativas de acesso não autorizado ao endpoint do serviço PostgreSQL.
O que os CISOs devem fazer imediatamente
Um cenário de ataque de exemplo poderia envolver um atacante não autenticado enviando solicitações manipuladas ao endpoint vulnerável para sobrescrever configurações críticas ou arquivos de log. Isso poderia desligar o monitoramento de segurança ou permitir movimento lateral adicional dentro da rede. As organizações que usam o Splunk Enterprise devem tratar essa vulnerabilidade como prioridade máxima. Ação imediata, incluindo patching, avaliação de exposição e validação forense, é essencial para prevenir a exploração e minimizar danos potenciais.
Os administradores devem verificar se o serviço PostgreSQL sidecar está exposto e garantir que a autenticação seja forçada em todos os endpoints críticos. A implementação de regras de firewall para restringir o acesso ao serviço PostgreSQL apenas de IPs de confiança é uma medida de mitigação imediata recomendada enquanto os patches são aplicados.