A CISA emitiu um alerta sobre uma falha crítica no Splunk Enterprise que está sendo explorada ativamente.
A CISA emitiu um alerta urgente sobre uma vulnerabilidade crítica no Splunk Enterprise, rastreada como CVE-2026-20253 , que agora está listada no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) após evidências de exploração ativa.
A falha, classificada como CWE-306 (Autenticação Ausente para Função Crítica), expõe os sistemas afetados à manipulação não autorizada de arquivos por meio de um endpoint de serviço sidecar do PostgreSQL, aumentando significativamente o risco de comprometimento em ambientes corporativos.
“A vulnerabilidade existe porque o endpoint do serviço sidecar do PostgreSQL não possui controles de autenticação, permitindo que qualquer usuário acessível pela rede execute operações de arquivo sem credenciais”, afirmou a equipe de segurança da Splunk em um aviso de segurança .
Na quarta-feira, 18 de junho, a Splunk atualizou seu aviso, recomendando aos clientes que corrijam seus sistemas o mais rápido possível devido a evidências de exploração em ambiente real.
“Em junho de 2026, a Equipe de Resposta a Incidentes de Segurança de Produtos da Splunk (PSIRT) tomou conhecimento da exploração limitada dessa vulnerabilidade. A Splunk recomenda fortemente que os clientes atualizem para uma versão corrigida do software para solucionar essa vulnerabilidade”, afirmou a empresa.
O grupo de vigilância de segurança da Internet Shadowserver monitora mais de 1.400 instâncias do Splunk expostas à Internet , a maioria delas na América do Norte (952) e na Europa (223). No entanto, não há informações sobre quantas delas são vulneráveis a ataques em andamento que exploram a falha CVE-2026-20253.

Na quinta-feira, 19 de junho, a CISA confirmou que agentes maliciosos estão explorando ativamente a vulnerabilidade CVE-2026-20253 em ataques e ordenou que as agências do Poder Executivo Civil Federal (FCEB) corrigissem suas instâncias do Splunk até domingo, conforme exigido pela Diretiva Operacional Vinculativa (BOD) 26-04.
Publicada na semana passada , a BOD 26-04 da CISA exige que as agências governamentais dos EUA priorizem a aplicação de patches com base no risco de exploração de cada vulnerabilidade.
“Esse tipo de vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos e representa riscos significativos para a infraestrutura federal”, afirmou a agência de cibersegurança ontem. “As partes interessadas são responsáveis por avaliar a exposição de cada ativo à internet e garantir a conformidade com as diretrizes de aplicação de patches da BOD 26-04.”
Bug crítico no Splunk Enterprise
De acordo com o aviso, a vulnerabilidade permite que atacantes não autenticados criem ou trunquem arquivos arbitrários sem a necessidade de credenciais válidas. Isso decorre da aplicação inadequada de controles de acesso em uma função crítica de backend do Splunk Enterprise.
O vetor de exploração aproveita-se do serviço auxiliar do PostgreSQL, que normalmente é usado para dar suporte a operações internas, mas que inadvertidamente expõe funcionalidades sensíveis quando não está devidamente protegido.
A exploração bem-sucedida dessa vulnerabilidade pode permitir que os invasores manipulem arquivos do sistema, interrompam os fluxos de registro de logs ou, potencialmente, abram caminho para uma maior escalada de privilégios, dependendo das configurações de implantação.
Embora a CISA ainda não tenha confirmado a atribuição direta da vulnerabilidade CVE-2026-20253 a campanhas específicas de ransomware, a agência enfatizou que a vulnerabilidade representa uma superfície de ataque de alto risco, particularmente em implementações do Splunk expostas à internet.
Dada a ampla utilização do Splunk em centros de operações de segurança (SOCs), ambientes SIEM e infraestruturas de agregação de logs, a sua exploração poderia ter impactos em cascata na visibilidade, detecção e capacidade de resposta a incidentes em todas as organizações afetadas.
A vulnerabilidade foi oficialmente adicionada ao catálogo KEV da CISA em 18 de junho de 2026, com um prazo de correção definido para 21 de junho de 2026, de acordo com a Diretiva Operacional Vinculativa (BOD) 26-04.
Esta diretiva exige que as agências federais priorizem a correção de vulnerabilidades com base na exposição ao risco e no status de exploração. Recomenda-se fortemente que as organizações apliquem imediatamente as correções ou mitigações fornecidas pelos fornecedores para garantir a conformidade com a BOD 26-04 e com os Requisitos de Triagem Forense da CISA.
As equipes de segurança devem realizar uma avaliação completa de suas implementações do Splunk para identificar possíveis vulnerabilidades, principalmente aquelas acessíveis pela internet ou integradas a infraestruturas críticas.
Em cenários onde a aplicação imediata de patches não é viável, a CISA recomenda restringir o acesso aos serviços afetados, implementar a segmentação de rede e desativar temporariamente os sistemas vulneráveis para reduzir a superfície de ataque.
Além disso, os responsáveis pela segurança devem monitorar indicadores de comprometimento, como criação ou truncamento não autorizados de arquivos, atividade anômala do sidecar do PostgreSQL e alterações inesperadas nas configurações do Splunk ou na integridade dos dados de log.
Dada a natureza da falha, os atacantes podem tentar apagar ou manipular os registros para evitar a detecção, tornando o monitoramento proativo e a preparação para perícia forense essenciais.
Esta vulnerabilidade destaca os riscos contínuos representados por controles de autenticação insuficientes em componentes de software corporativos, particularmente aqueles expostos por meio de serviços auxiliares. À medida que os agentes de ameaças visam cada vez mais plataformas de observabilidade e registro de logs para cegar as operações de segurança, a aplicação oportuna de patches e controles de acesso rigorosos continuam sendo defesas críticas contra a exploração.
Fonte: GBHackers & BleepingComputer
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Segurança de aplicações na era da IA: estamos de olhos vendados
- Novo serviço de phishing da Bluekit burla a autenticação multifator
- Vulnerabilidade crítica no python.org permite requisições de API como Admin
- Ataques com ransomwares fizeram 791 vítimas em maio
- O Fantasma na Máquina: o desafio das alucinações de IA na segurança corporativa
- Sem usar vírus, golpe que engana funcionários se multiplica por 37
- Estratégia de cibersegurança vira pilar de sobrevivência para empresas
- IA leva à descoberta de nova técnica de ransomware
- Judiciário brasileiro combate ataques com tecnologia de alta performance
- Altos riscos da segurança em data centers
- IA, ameaças nacionais e cenário global redefinem estratégias de defesa
- Ataques cibernéticos ampliam preocupação do mercado de resseguros

Be the first to comment