Se ha emitido una alerta de ciberseguridad de máxima prioridad tras la confirmación, por parte de CISA y el equipo de respuesta a incidentes de Splunk (PSIRT), de la explotación activa de una vulnerabilidad crítica en Splunk Enterprise. El fallo permite a atacantes remotos no autenticados crear, modificar o truncar archivos arbitrarios en el servidor, lo que puede encadenarse rápidamente para lograr la Ejecución Remota de Código (RCE). Debido a la naturaleza de Splunk como plataforma central de agregación de registros (SIEM), un compromiso exitoso permite al atacante no solo tomar control del sistema, sino también alterar o borrar la telemetría de seguridad, volviendo invisibles sus movimientos laterales en la red.
Veredicto Analítico
- Estado: Confirmado (Explotación activa detectada en la naturaleza; añadido al catálogo KEV de CISA bajo la directiva de emergencia BOD 26-04).
- Confianza: Alta (Respaldado por avisos oficiales de Splunk, alertas de CISA y pruebas de concepto públicas de investigadores).
- Riesgo para SOC TDIR: Crítico absoluto. Comprometer el SIEM de una organización equivale a “apagar las cámaras de seguridad” y neutralizar al vigilante. Otorga control sobre los registros forenses, credenciales almacenadas y el entorno subyacente.
- Urgencia operativa: Inmediata. CISA ha ordenado un plazo de apenas tres días para la aplicación del parche en agencias federales, lo que resalta la facilidad de explotación y el peligro inminente para instancias expuestas.
- Base del veredicto: Falla estructural en la arquitectura de microservicios de Splunk 10.x, específicamente la ausencia total de controles de autenticación en la API del servicio sidecar de PostgreSQL (CWE-306 / CVSS 9.8).
Hallazgos Clave y Vulnerabilidades Abordadas (CVEs)
El aviso de seguridad de Splunk documenta la falla principal explotada, junto con múltiples correcciones en componentes de terceros integrados en el motor:
- CVE-2026-20253 (Falta de Autenticación en Función Crítica – Severidad Crítica, CVSS 9.8): El vector principal del ataque. El servicio intermediario (PostgreSQL Sidecar), responsable de las funciones de copia de seguridad y restauración de la base de datos embebida, carece de mecanismos de autenticación. Cualquier usuario con conectividad de red al endpoint puede invocar estas operaciones. Afecta a Splunk Enterprise versiones 10.0.x y 10.2.x. (Nota: Las versiones 9.4 e inferiores no están afectadas al no contar con este componente. Splunk Cloud tampoco es vulnerable).
Actualizaciones de Componentes de Terceros Asociados al Parche: Para mitigar la superficie de ataque colateral, las versiones seguras de Splunk también incorporan parches para librerías dependientes críticas:
- Golang (CVE-2025-68121, CVE-2026-25679, entre otros): Actualización del compilador de Go embebido para evitar fallos de seguridad de memoria.
- PostgreSQL (CVE-2026-2003 al CVE-2026-2006): Actualización a la versión 17.8 del motor de base de datos.
- MongoDB (CVE-2026-4147, CVE-2026-4358): Correcciones de severidad alta en los motores de base de datos distribuidos integrados en el ecosistema.
- Módulos de Python (CVE-2026-24049): Actualización de dependencias como wheel y pip.
Análisis Técnico
- Vector de Ataque y Acceso Inicial: El atacante no necesita credenciales válidas ni interacción del usuario. Simplemente envía peticiones HTTP manipuladas directamente al puerto que expone las APIs del servicio sidecar de PostgreSQL de Splunk.
- Mecanismo de Infección y Escalamiento: Al no existir una validación de sesión (CWE-306), el atacante puede invocar de forma anónima las funciones de exportación e importación de la base de datos. Al encadenar las llamadas de las APIs de backup y restore junto con secuencias de salto de directorio (../), el atacante logra sobrescribir archivos críticos de configuración del sistema operativo o de la propia aplicación Splunk. Esto culmina en la ejecución de código arbitrario con los privilegios del servicio splunkd.
TTPs (MITRE ATT&CK):
- Acceso Inicial: Explotación de infraestructura de cara al público (Exploit Public-Facing Application).
- Ejecución: Ejecución de código mediante manipulación de APIs no autenticadas (Exploitation for Client/Server Execution).
- Evasión de Defensas: Borrado de registros y desactivación de la monitorización de seguridad interna (Impair Defenses: Disable or Modify Tools / Indicator Removal on Host).
Recomendaciones Operativas
Para Administradores de Plataforma y DevOps (Acción Inmediata)
- Despliegue de Actualizaciones Oficiales: Actualizar inmediatamente Splunk Enterprise a las versiones seguras: 10.4.0, 10.2.4 o 10.0.7.
- Mitigación Temporal Alternativa (Workaround): Si no es posible aplicar el parche de inmediato, se puede mitigar el CVE-2026-20253 desactivando el sidecar de PostgreSQL. Esto se logra editando el archivo $SPLUNK_HOME/etc/system/local/server.conf y agregando la directiva:
Ini, TOML
[postgres]
disabled = true
Atención: Esta mitigación interrumpe características que dependan de flujos de datos Edge Processor, OpAmp o SPL2. Requiere un reinicio del servicio para surtir efecto.
Para el SOC (Monitoreo, Cacería y Triage Forense)
- Auditoría de Endpoints del Sidecar: Analizar los flujos de red entrantes hacia el entorno de Splunk buscando peticiones anómalas que contengan parámetros de conexión de bases de datos como hostaddr=, dbname=, port= o secuencias de path traversal (../) en la URI.
- Cacería de Ejecución de Binarios: Supervisar mediante el EDR de los servidores la ejecución inesperada de las herramientas pg_dump o pg_restore fuera de las ventanas de mantenimiento programadas.
- Monitoreo de Integridad de Archivos (FIM): Alertar sobre la creación repentina de archivos de volcado de bases de datos (.dump, .sql) en ubicaciones de disco inusuales (como /tmp, /dev/shm o directorios web de acceso público).
Para CTI (Inteligencia de Amenazas)
- Cambio de Paradigma Ofensivo: La explotación del SIEM corporativo representa una maduración en las tácticas de los actores de ransomware y APTs, quienes ahora prefieren comprometer la arquitectura defensiva desde el principio (“Cazar al cazador”) para garantizar un tiempo de permanencia (Dwell Time) prolongado y sin obstáculos.
