Splunk unter Angriff: CVE-2026-20253 mit CVSS 9,8 wird zum Albtraum für das SOC nach Ablauf der Frist der CISA
Eine präautorisierte Schwachstelle im PostgreSQL-Sidecar von Splunk Enterprise wird in Angriffen ausgenutzt. Die Frist der CISA lief am Sonntag, den 21. Juni aus, und der Exploit von watchTowr ist bereits im Umlauf.
Die Frist, die von der Cybersecurity and Infrastructure Security Agency (CISA) für US-Bundesbehörden gesetzt wurde, um CVE-2026-20253 im Splunk Enterprise zu beheben, endete am Sonntag, den 21. Juni 2026. Die Schwachstelle mit einem CVSS-Wert von 9,8 erlaubt die Erstellung und das Truncieren beliebiger Dateien über den Endpoint des PostgreSQL-Sidecars ohne jegliche Authentifizierung. In Kombination mit der PostgreSQL-Primitive lo_export wird dies zu einer Remote Code Execution (RCE) mit den Berechtigungen des Splunk-Nutzers auf jeder exponierten Instanz.
Die CISA hat den Fehler am 18. Juni zum Katalog der Known Exploited Vulnerabilities (KEV) hinzugefügt und bestätigte die Ausnutzung „in the wild“. Die Mitigationsfrist betrug nur drei Tage, was kürzer ist als der Standard von zwei Wochen, der in der verbindlichen Betriebsrichtlinie 22-01 vorgesehen ist. Splunk hatte am 10. Juni die Patches veröffentlicht, aber die Annahmerate war langsam, bis watchTowr Labs am 12. Juni einen funktionalen Proof of Concept veröffentlichte. Ab diesem Zeitpunkt registrierten Threat-Intel-Teams von Resecurity massive Scans und großflächige Ausbeutungsversuche.
Wo die Schwachstelle versteckt ist
Der verletzliche Endpoint ist Teil des PostgreSQL-Dienstes, der für Backup und Recovery der internen Datenbank von Splunk zuständig ist. Laut der offiziellen Mitteilung SVD-2026-0603 sind die Versionen 10.2.0 bis 10.2.3 und 10.0.0 bis 10.0.6 betroffen; die Korrekturen befinden sich in den Builds 10.4.0, 10.2.4 und 10.0.7. "Warum sollte man eine Authentifizierung auf Anwendungsebene verwenden, wenn die gesamte Datenbank bereits ihre eigene hat?", ironisierte watchTowr in ihrem technischen Bericht und beschrieb die fehlenden Prüfungen als einen Architekturf fehler, der bis zur Version 10 überlebt hat.
Das PostgreSQL-Sidecar kann als vorübergehende Mitigation deaktiviert werden, aber Splunk warnt, dass Backup-Funktionen dann nicht verfügbar sind. Für Splunk Cloud-Kunden gibt das Unternehmen an, den Patch automatisch angewendet zu haben.
Das Ziel ist das Herzstück des SOC
Im Gegensatz zu einer typischen Endpoint-Schwachstelle trifft diese RCE das Security Operations Center. Splunk ist die SIEM-Engine in mehr als der Hälfte der Finanzinstitutionen der Fortune 500 und in Telekommunikationsbetreibern fast aller relevanten Märkte für das europäische und asiatische B2B-Geschäft. Wer Splunk kompromittiert, führt nicht nur Code aus, sondern kann auch Audit-Protokolle löschen, Detektionsregeln ändern und das Incident-Response-Team während des nächsten Angriffs blenden.
Für Caitlin Condon, Leiterin der Schwachforschung bei Rapid7, ist das Szenario besonders gefährlich, wenn der Angreifer bereits im Perimeter ist. "Präautorisierung ist der schlimmste Fall, aber die tatsächliche Auswirkung liegt bei denjenigen, die Splunk als Zuverlässigkeit der forensischen Kette verwenden. Wenn das SIEM fällt, fällt auch die Untersuchung", sagte sie in einem Interview, das am 19. Juni von Help Net Security veröffentlicht wurde.
Querverweis: Was ändert sich für CIOs und CISOs außerhalb der USA
Der KEV-Katalog der CISA verpflichtet nur US-Bundesbehörden, funktioniert aber als globales Signal. Im Vereinigten Königreich richtet das NCSC typischerweise innerhalb von 48 Stunden entsprechende Warnungen aus, und Betreiber kritischer Infrastrukturen in Deutschland müssen Mitigationen gemäß NIS2 an das BSI melden. Brasilianische Banken, die Splunk On-Premises für Betrugsmonitoring verwenden, sind dem gleichen Szenario ausgesetzt, verschärft durch die Tatsache, dass Brasilien keine bundesrechtliche Vorschrift für Fristen bei der Patch-Bereitstellung für kritische Vermögenswerte außerhalb des Anwendungsbereichs der Resolution 4.893 der Zentralbank hat, die nur überwachte Finanzinstitutionen abdeckt.
In Indien, wo Tata Consultancy Services und Infosys verwaltete SOCs für einen Großteil der Fortune 500 betreiben, ist das Fenster der Exposition besonders sensibel: Frühere Berichte von Recorded Future weisen darauf hin, dass indische Delivery-Zentren einen relevanten Teil der Splunk Enterprise-Instanzen für westliche Kunden konzentrieren. Ein Kompromiss dort bedeutet laterale Exposition für Dutzende von Organisationen gleichzeitig.
Was in den nächsten Tagen zu erwarten ist
Die Kombination aus öffentlichem Exploit, niedriger Ausbeutungsfrist und einem strategisch hoch wertvollen Asset deutet auf eine Eskalation hin. Banken und Cloud-Anbieter, die den Patch noch nicht angewendet haben, laufen in dieser Woche mit einem hohen Risiko, nachträgliche Eindringungen zu entdecken, anstatt laufende Angriffe zu blockieren. Die Frage für den CISO ist nicht, ob das System in den letzten 72 Stunden gescannt wurde, sondern ob der Scan zu einem foothold geworden ist, bevor das Upgrade umgesetzt wurde.