Splunk sob ataque: CVE-2026-20253 com CVSS 9,8 vira pesadelo do SOC após prazo da CISA expirar
Falha pré-autenticação no sidecar PostgreSQL do Splunk Enterprise está sendo explorada em ataques. Prazo da CISA expirou no domingo, 21 de junho, e o exploit do watchTowr já está em circulação.
O prazo dado pela Cybersecurity and Infrastructure Security Agency (CISA) para que agências federais norte-americanas corrigissem o CVE-2026-20253 no Splunk Enterprise expirou no domingo, 21 de junho de 2026. A falha, com CVSS 9,8, permite criação e truncamento arbitrário de arquivos via endpoint do serviço sidecar PostgreSQL sem qualquer autenticação. Encadeada com a primitiva lo_export do PostgreSQL, ela vira execução remota de código (RCE) com privilégios do usuário Splunk em qualquer instância exposta.
A CISA adicionou o bug ao catálogo Known Exploited Vulnerabilities (KEV) em 18 de junho, citando exploração confirmada in-the-wild, e deu apenas três dias para mitigação, prazo mais curto do que o padrão de duas semanas previsto na Diretriz Operacional Vinculante 22-01. Splunk havia liberado os patches em 10 de junho, mas o ritmo de adoção foi lento até a watchTowr Labs publicar prova de conceito funcional em 12 de junho. A partir daí, equipes de Threat Intel da Resecurity registraram varreduras massivas e tentativas de exploração em larga escala.
Onde a falha mora
O endpoint vulnerável faz parte do serviço PostgreSQL que cuida de backup e recovery do banco interno do Splunk. Segundo o aviso oficial SVD-2026-0603, versões 10.2.0 a 10.2.3 e 10.0.0 a 10.0.6 estão expostas; as correções estão nas builds 10.4.0, 10.2.4 e 10.0.7. "Por que usar autenticação no nível da aplicação quando todo banco já tem a sua própria?", ironizou a watchTowr em seu writeup técnico, descrevendo a ausência de checagens como um erro de arquitetura que sobreviveu até a versão 10.
O sidecar PostgreSQL pode ser desabilitado como mitigação temporária, mas Splunk avisa que recursos de backup ficam indisponíveis. Para clientes do Splunk Cloud, a empresa diz ter aplicado o patch automaticamente.
O alvo é o coração do SOC
Diferente de uma falha em endpoint comum, este RCE acerta o Security Operations Center. Splunk é o motor de SIEM em mais da metade das instituições financeiras da Fortune 500 e em operadoras de telecom de praticamente todos os mercados que importam para a B2B europeia e asiática. Quem compromete o Splunk não apenas executa código, mas pode apagar trilhas de auditoria, alterar regras de detecção e cegar o time de resposta a incidentes durante o ataque seguinte.
Para Caitlin Condon, head de pesquisa de vulnerabilidades da Rapid7, o cenário é especialmente perigoso quando o atacante já está dentro do perímetro. "Pré-autenticação é o pior caso, mas o impacto real está em quem usa o Splunk como confiabilidade da cadeia forense. Se o SIEM cai, a investigação cai junto", disse em entrevista publicada pela Help Net Security em 19 de junho.
Leitura cruzada: o que muda para CIOs e CISOs além dos EUA
O catálogo KEV da CISA só obriga agências federais norte-americanas, mas funciona como sinal global. No Reino Unido, o NCSC tipicamente alinha alertas equivalentes em 48 horas, e operadoras de infraestrutura crítica na Alemanha precisam reportar mitigações ao BSI sob a NIS2. Bancos brasileiros que rodam Splunk on-prem nas operações de fraud monitoring ficam expostos ao mesmo cenário, agravado pelo fato de o Brasil não ter exigência regulatória federal de prazo de patching para ativos críticos fora do escopo da Resolução 4.893 do Banco Central, que cobre só instituições financeiras supervisionadas.
Na Índia, onde Tata Consultancy Services e Infosys operam SOCs gerenciados para boa parte da Fortune 500, a janela de exposição é particularmente sensível: relatórios anteriores da Recorded Future indicam que centros de delivery indianos concentram parte relevante das instâncias Splunk Enterprise rodando para clientes ocidentais. Um comprometimento ali significa exposição lateral para dezenas de organizações ao mesmo tempo.
O que esperar nos próximos dias
A combinação de exploit público, baixa fricção de exploração e ativo de alto valor estratégico aponta para escalada. Bancos e operadoras de cloud que ainda não aplicaram o patch entram nesta semana com risco elevado de descobrir intrusões em retroativo, em vez de bloquear ataques em curso. A pergunta para o CISO não é se o sistema foi varrido nas últimas 72 horas, mas se a varredura virou foothold antes do upgrade chegar.