Splunk bajo ataque: CVE-2026-20253 con CVSS 9,8 se convierte en pesadilla para el SOC tras expirar el plazo de la CISA

El plazo otorgado por la Agencia de Seguridad Cibernética e Infraestructura (CISA) para que las agencias federales estadounidenses corrigieran el CVE-2026-20253 en Splunk Enterprise expiró el domingo 21 de junio de 2026. La vulnerabilidad, con un CVSS de 9,8, permite la creación y truncamiento arbitrario de archivos a través del endpoint del servicio sidecar PostgreSQL sin ninguna autenticación. Combinada con la primitiva lo_export de PostgreSQL, se convierte en ejecución remota de código (RCE) con privilegios del usuario Splunk en cualquier instancia expuesta.

La CISA añadió el error al catálogo de Vulnerabilidades Conocidas Explotadas (KEV) el 18 de junio, citando explotación confirmada en el mundo real, y dio solo tres días para su mitigación, un plazo más corto que el estándar de dos semanas previsto en la Directriz Operacional Vinculante 22-01. Splunk había liberado los parches el 10 de junio, pero el ritmo de adopción fue lento hasta que watchTowr Labs publicó una prueba de concepto funcional el 12 de junio. A partir de ese momento, los equipos de Threat Intel de Resecurity registraron exploraciones masivas e intentos de explotación a gran escala.

Dónde reside la falla

El endpoint vulnerable forma parte del servicio PostgreSQL que se encarga de la copia de seguridad y recuperación de la base de datos interna de Splunk. Según el aviso oficial SVD-2026-0603, las versiones 10.2.0 a 10.2.3 y 10.0.0 a 10.0.6 están expuestas; las correcciones están en las builds 10.4.0, 10.2.4 y 10.0.7. "¿Por qué usar autenticación a nivel de la aplicación cuando toda la base de datos ya tiene la suya propia?", ironizó watchTowr en su informe técnico, describiendo la ausencia de comprobaciones como un error de arquitectura que sobrevivió hasta la versión 10.

El sidecar PostgreSQL puede ser deshabilitado como mitigación temporal, pero Splunk advierte que los recursos de copia de seguridad quedarán indisponibles. Para los clientes de Splunk Cloud, la empresa dice haber aplicado el parche automáticamente.

El objetivo es el corazón del SOC

A diferencia de una vulnerabilidad en un endpoint común, este RCE impacta directamente en el Centro de Operaciones de Seguridad. Splunk es el motor de SIEM en más de la mitad de las instituciones financieras de la Fortune 500 y en operadores de telecomunicaciones de prácticamente todos los mercados relevantes para el B2B europeo y asiático. Quien compromete Splunk no solo ejecuta código, sino que también puede borrar pistas de auditoría, alterar reglas de detección y cegar al equipo de respuesta a incidentes durante el siguiente ataque.

Para Caitlin Condon, responsable de investigación de vulnerabilidades en Rapid7, el escenario es especialmente peligroso cuando el atacante ya está dentro del perímetro. "La preautenticación es el peor de los casos, pero el impacto real está en quienes usan Splunk como confiabilidad de la cadena forense. Si el SIEM cae, la investigación cae junto con él", dijo en una entrevista publicada por Help Net Security el 19 de junio.

Lectura cruzada: ¿qué cambia para CIOs y CISOs más allá de EE. UU.?

El catálogo KEV de la CISA solo obliga a las agencias federales estadounidenses, pero funciona como una señal global. En el Reino Unido, el NCSC típicamente alinea alertas equivalentes en 48 horas, y los operadores de infraestructura crítica en Alemania deben informar sobre mitigaciones al BSI bajo la NIS2. Los bancos brasileños que operan Splunk on-prem en las operaciones de monitoreo de fraude están expuestos al mismo escenario, agravado por el hecho de que Brasil no tiene una exigencia regulatoria federal de plazo de parcheo para activos críticos fuera del alcance de la Resolución 4.893 del Banco Central, que cubre solo a las instituciones financieras supervisadas.

En India, donde Tata Consultancy Services e Infosys operan SOCs gestionados para gran parte de la Fortune 500, la ventana de exposición es particularmente sensible: informes anteriores de Recorded Future indican que los centros de entrega indios concentran una parte relevante de las instancias de Splunk Enterprise que operan para clientes occidentales. Un compromiso allí significa una exposición lateral para decenas de organizaciones al mismo tiempo.

Qué esperar en los próximos días

La combinación de un exploit público, baja fricción de explotación y un activo de alto valor estratégico apunta a una escalada. Los bancos y operadores de cloud que aún no han aplicado el parche entran en esta semana con un riesgo elevado de descubrir intrusiones en retroactivo, en lugar de bloquear ataques en curso. La pregunta para el CISO no es si el sistema fue examinado en las últimas 72 horas, sino si el examen se convirtió en foothold antes de que el upgrade llegara.