Angreifer haben gerade Admin-Zugriff auf das System erhalten, das sie eigentlich aufhalten sollte.

Angreifer haben gerade Admin-Zugriff auf das System erhalten, das sie eigentlich aufhalten sollte.

Splunk Enterprise hat eine CVSS-9.8-Schwachstelle – CVE-2026-20253 – die nicht authentifizierten Remote-Angreifern ermöglicht, beliebige Dateien auf dem Splunk-Server zu schreiben, ganz ohne Zugangsdaten. File-Write führt zu vollständiger Remote-Code-Execution. CISA bestätigte gestern aktive Ausnutzung und fügte die Schwachstelle mit einer Bundesbehörden-Frist zum 21. Juni in den KEV-Katalog auf.

Ausnutzung ist seit dem 15. Juni aktiv. Vier Tage In-the-Wild-Angriffe, bevor die meisten Organisationen überhaupt davon wissen.

Die betroffene Komponente ist ein PostgreSQL-Sidecar-Service-Endpoint, der keine Authentifizierung erzwingt, bevor er Anfragen verarbeitet. Betroffene Versionen: Splunk Enterprise 10.2 vor 10.2.4 und 10.0 vor 10.0.7. Splunk Cloud ist nicht betroffen.

Das eigentliche Problem: Splunk ist keine gewöhnliche Anwendung. Es ist der zentrale Aggregationspunkt für Sicherheitsereignisse, Systemprotokolle und Compliance-Daten in den meisten großen Unternehmen. Wer Splunk kontrolliert, kontrolliert, was Ihr SOC sieht – und was es nicht sieht.

Aktualisieren Sie Splunk Enterprise sofort auf 10.2.4 oder 10.0.7. Suchen Sie in Splunk-Logs nach nicht authentifizierten API-Aufrufen seit dem 15. Juni. Isolieren Sie den Splunk-Server vom allgemeinen Netzwerkzugang. Überprüfen Sie alle Splunk-Konfigurationen und gespeicherte Suchen auf Manipulation.