En bref

  • CVE-2026-20253 : RCE pré-authentifiée critique dans Splunk Enterprise via un endpoint PostgreSQL sidecar sans authentification, ajoutée au KEV CISA le 18 juin 2026
  • Versions affectées : Splunk Enterprise 10.2.0 à 10.2.3 et 10.0.0 à 10.0.6 ; versions 9.4 et antérieures non affectées
  • Action urgente : mettre à jour immédiatement vers Splunk Enterprise 10.4.0, 10.2.4 ou 10.0.7 — exploitation active confirmée

Les faits

CVE-2026-20253 est une vulnérabilité critique dans Splunk Enterprise découverte dans le service sidecar PostgreSQL intégré à la plateforme. La faille est classifiée sous CWE-306 (Missing Authentication for Critical Function) et a été officiellement ajoutée au catalogue des vulnérabilités activement exploitées (KEV) de la CISA le 18 juin 2026. La CISA a exigé des agences fédérales américaines (FCEB) qu'elles appliquent le correctif avant le 21 juin 2026, délai de seulement trois jours reflétant la gravité extrême et l'exploitation active de la menace observée sur le terrain.

Techniquement, la vulnérabilité existe parce qu'un endpoint du service sidecar PostgreSQL dans Splunk Enterprise ne dispose d'aucun mécanisme d'authentification. Cet endpoint expose des opérations de fichier — création et troncature arbitraire de fichiers — directement accessibles à tout utilisateur pouvant atteindre le serveur en réseau, sans fournir aucune credential. La nature de cette primitive est particulièrement dangereuse : écriture arbitraire de fichiers sur un système hôte disposant des privilèges du service Splunk, typiquement élevés dans les déploiements d'entreprise, peut être directement chaînée vers une exécution de code à distance complète.

Le 12 juin 2026, les chercheurs de WatchTowr ont publié une analyse technique détaillée démontrant comment la primitive de création/troncature de fichiers peut être transformée en exécution de code à distance. En écrivant un fichier de configuration malveillant dans un répertoire chargé dynamiquement par le processus Splunk, un attaquant peut injecter des commandes arbitraires qui seront exécutées avec les privilèges du service Splunk. Dans la majorité des déploiements d'entreprise, Splunk s'exécute avec des privilèges élevés pour ingérer des logs système, ce qui confère à l'attaquant un accès de niveau administrateur ou système sur le serveur hôte après exploitation réussie.

La divulgation publique par WatchTowr a inclus un proof-of-concept (PoC) démontrant l'exploitation end-to-end, du premier accès non authentifié jusqu'à l'exécution de code arbitraire. Ce PoC a immédiatement accéléré l'exploitation in-the-wild : quelques jours seulement après la publication de l'analyse, des acteurs malveillants ont commencé à cibler des instances Splunk Enterprise exposées, forçant la CISA à agir en urgence le 18 juin. Des logs de honeypot analysés par plusieurs firmes de sécurité ont enregistré des scans actifs à la recherche du port Splunk (8089/tcp) et des tentatives d'exploitation à partir du 14 juin 2026.

Splunk Enterprise est l'une des plateformes SIEM (Security Information and Event Management) et d'analyse de logs les plus déployées dans le monde, utilisée par des milliers d'organisations pour leur surveillance sécurité, leur conformité réglementaire (SOC 2, PCI-DSS, HIPAA) et leurs opérations de threat hunting. La compromission d'une instance Splunk va bien au-delà du contrôle du serveur hôte : un attaquant accède à l'intégralité des données de log ingérées — logs d'authentification, flux réseau, événements de sécurité — lui permettant de cartographier précisément l'infrastructure cible, d'identifier des comptes privilégiés, et d'effacer les traces de ses actions.

Les versions affectées couvrent la branche 10.x récente de Splunk Enterprise : 10.2.0 à 10.2.3 et 10.0.0 à 10.0.6. Les versions 9.4 et antérieures ne sont pas affectées par cette vulnérabilité spécifique, ce qui indique que le service sidecar PostgreSQL vulnérable a été introduit dans les versions 10.x. Les instances Splunk Cloud (SaaS hébergé par Splunk) ont été corrigées directement par Splunk sans action requise des clients, selon l'advisory SVD-2026-0603 publié sur le portail de sécurité Splunk.

La correction est disponible dans les versions Splunk Enterprise 10.4.0, 10.2.4 et 10.0.7. Splunk a publié ces versions correctives en réponse à la divulgation responsable initiale, avant que l'exploitation active ne soit confirmée publiquement. Le délai entre la publication du correctif et l'ajout au KEV CISA illustre un phénomène récurrent : malgré la disponibilité d'un patch, de nombreuses organisations n'avaient pas encore appliqué la mise à jour au moment où l'exploitation a débuté, soulignant l'importance d'une gestion proactive des vulnérabilités pour les logiciels d'infrastructure critique.

La vulnérabilité a été décrite dans l'advisory officiel Splunk SVD-2026-0603 comme une « création et troncature arbitraire de fichiers non authentifiées dans un endpoint du service sidecar PostgreSQL de Splunk Enterprise ». Le port vulnérable est le port de management REST API Splunk (8089/tcp par défaut), utilisé pour l'administration, la configuration et les communications inter-composants. Dans de nombreuses architectures Splunk distribuées, ce port est accessible depuis l'ensemble des nœuds du déploiement, élargissant potentiellement la surface d'attaque interne.

Impact et exposition

Toute organisation exécutant Splunk Enterprise en version 10.2.0 à 10.2.3 ou 10.0.0 à 10.0.6 sur des serveurs accessibles en réseau est directement exposée. L'exploitation ne requiert aucune authentification préalable ni aucun compte Splunk existant, ce qui signifie qu'un attaquant externe ayant accès au port 8089/tcp peut déclencher l'exécution de code sans le moindre credential. Dans les architectures où Splunk est exposé depuis un DMZ ou directement depuis Internet — configuration moins courante mais observée dans des déploiements mal sécurisés — le risque est maximal.

Même dans les déploiements où Splunk est isolé sur un réseau interne, l'exploitation reste pertinente dans le cadre d'une attaque latérale post-compromission initiale. Un attaquant ayant pénétré le réseau d'entreprise via une autre voie (phishing, exploitation d'un équipement périmétrique vulnérable) cherchera naturellement à compromettre l'instance Splunk pour couvrir ses traces et disposer d'une vision complète de l'infrastructure via les logs ingérés. La compromission du SIEM représente pour un attaquant avancé un objectif stratégique de premier ordre.

L'exploitation active est confirmée depuis le 14 juin 2026. Des groupes d'attaquants opportunistes et, selon certaines analyses publiées par des firmes de threat intelligence, des acteurs potentiellement sponsorisés ont été observés ciblant des instances Splunk Enterprise non patchées dans les secteurs de la finance, de la santé et des administrations publiques. La présence de CVE-2026-20253 dans le KEV CISA constitue la confirmation officielle de cette exploitation in-the-wild.

L'impact d'une compromission Splunk va au-delà du serveur lui-même. Les données de log ingérées — qui peuvent représenter des années d'historique d'événements de sécurité — constituent une mine d'informations stratégiques pour l'attaquant : identification des comptes administrateurs et de leurs patterns de connexion, cartographie des plages d'adresses IP internes, détection des vulnérabilités connues déjà identifiées en interne. Un attaquant peut également modifier ou supprimer des indexes Splunk pour effacer les traces de son intrusion, compromettant durablement l'intégrité des preuves forensiques et la capacité de détection de l'organisation.

Recommandations immédiates

  • Mettre à jour Splunk Enterprise vers la version 10.4.0, 10.2.4 ou 10.0.7 selon votre branche de déploiement — advisory : Splunk Security Advisory SVD-2026-0603
  • Si la mise à jour immédiate est impossible : restreindre l'accès au port 8089/tcp (management REST API) aux seules adresses IP de confiance via des règles de pare-feu ou ACL réseau
  • Auditer les logs d'accès au port 8089 pour identifier des tentatives d'exploitation passées : rechercher des requêtes POST inattendues vers les endpoints du service sidecar PostgreSQL depuis des adresses non autorisées
  • Vérifier l'intégrité des fichiers de configuration Splunk (notamment dans le répertoire $SPLUNK_HOME/etc/) et surveiller la création de fichiers inattendus via des solutions EDR ou FIM (File Integrity Monitoring)
  • Indicateurs de compromission : processus enfants inattendus lancés depuis splunkd, fichiers créés dans les répertoires Splunk avec des timestamps récents sans correspondance dans les logs d'administration, connexions réseau sortantes inhabituelles depuis le processus splunkd

⚠️ Urgence maximale — Exploitation active confirmée, KEV CISA

CVE-2026-20253 est activement exploitée depuis le 14 juin 2026 et figure dans le catalogue KEV de la CISA. La compromission d'une instance Splunk Enterprise expose l'ensemble de vos logs de sécurité et permet à l'attaquant d'effacer ses traces d'intrusion. Si votre version de Splunk Enterprise est dans la plage 10.0.0-10.0.6 ou 10.2.0-10.2.3, traitez votre instance comme potentiellement compromise et appliquez le correctif en urgence.

Comment savoir si je suis vulnérable ?

Vérifiez votre version Splunk Enterprise en vous connectant à l'interface web (Settings puis About) ou en ligne de commande avec $SPLUNK_HOME/bin/splunk version. Si la version est dans les plages 10.2.0-10.2.3 ou 10.0.0-10.0.6, vous êtes vulnérable. Pour tester l'accessibilité du port vulnérable depuis l'extérieur : curl -sk https://[IP_SPLUNK]:8089/services/server/info — une réponse XML indique que le port est accessible. Vérifiez également que vos règles de pare-feu bloquent ce port depuis les réseaux non de confiance.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit