En bref

  • Splunk a divulgué le 10 juin 2026 CVE-2026-20253, une RCE pré-authentification dans Splunk Enterprise 10.x — CVSS 9.8
  • Versions affectées : Splunk Enterprise 10.0.x < 10.0.7 et 10.2.x < 10.2.4, en particulier les instances AWS où le PostgreSQL Sidecar est actif par défaut
  • Action requise : mise à jour immédiate vers 10.0.7 ou 10.2.4, ou désactivation du PostgreSQL Sidecar Service dans l'attente

Les faits

Le 10 juin 2026, Splunk a publié l'advisory SVD-2026-0403 révélant CVE-2026-20253, une vulnérabilité critique affectant Splunk Enterprise dans ses versions 10.x. Avec un score CVSS de 9.8, cette faille permet à un attaquant non authentifié disposant d'un simple accès réseau d'exécuter du code arbitraire sur le serveur cible. La vulnérabilité a été découverte et signalée de manière responsable par les chercheurs d'Orca Security.

La racine du problème se situe dans le PostgreSQL Sidecar Service, un composant introduit avec Splunk Enterprise version 10 pour gérer la base de données PostgreSQL interne. Ce service expose deux endpoints HTTP internes : /v1/postgres/recovery/backup et /v1/postgres/recovery/restore. Ces endpoints ne disposent d'aucun contrôle d'authentification et sont accessibles depuis l'application web principale de Splunk via un mécanisme de proxy transparent — n'importe quel client HTTP peut les atteindre sans identifiant.

La chaîne d'exploitation documentée par Orca Security fonctionne en deux étapes. Premièrement, l'attaquant utilise l'endpoint de backup pour écrire une base de données PostgreSQL malveillante sur le système de fichiers Splunk, sans aucun identifiant. Deuxièmement, il invoque l'endpoint de restore pour charger cette base et exécuter des commandes SQL arbitraires, permettant des écritures de fichiers dans des répertoires critiques du système — le tremplin vers l'exécution de code à distance complète.

L'exposition est particulièrement grave sur les déploiements AWS. Splunk Enterprise 10 y déploie le PostgreSQL Sidecar Service activé par défaut lors du provisionnement, rendant ces instances vulnérables dès leur mise en production. Les environnements on-premise peuvent être moins exposés si le composant n'a pas été explicitement activé, mais toute instance 10.x mérite une vérification immédiate.

Des analyses publiées le 13 juin 2026 par GBHackers et CybersecurityNews indiquent que des scripts d'exploitation circulaient déjà en privé au moment de la divulgation publique. La fenêtre entre divulgation privée et exploitation publique est généralement très courte pour les vulnérabilités pré-auth de ce niveau de criticité.

La nature de Splunk dans l'architecture de sécurité des organisations agrandit considérablement l'impact potentiel. Splunk est le SIEM qui agrège tous les logs, reçoit toutes les alertes EDR, stocke les données d'investigation numérique. Une compromission de Splunk expose potentiellement l'ensemble des données de journalisation de l'entreprise, offre à l'attaquant une visibilité complète sur l'infrastructure, et peut lui permettre d'effacer les traces de ses activités passées et futures.

C'est la définition même de l'attaquant en position dominante : compromettre le SIEM signifie compromettre l'outil de détection lui-même, permettant à l'intrus de surveiller les alertes SOC en temps réel, d'anticiper les réponses des équipes de sécurité, et d'ajuster ses mouvements latéraux avant d'être détecté. Dans les exercices de red team et les incidents réels documentés par Mandiant et CrowdStrike, la compromission du SIEM est systématiquement listée parmi les objectifs prioritaires des groupes APT.

Splunk a publié des versions corrigées le jour de la divulgation : 10.0.7 et 10.2.4 intègrent le patch, consistant à implémenter des contrôles d'authentification appropriés sur les endpoints du PostgreSQL Sidecar Service. Les versions 9.x et antérieures ne sont pas affectées. Splunk Cloud est géré directement par l'éditeur et a été patché sans intervention requise des clients.

Impact et exposition

Sont exposés tous les déploiements de Splunk Enterprise en versions 10.0.x antérieures à 10.0.7 et 10.2.x antérieures à 10.2.4. L'exploitation ne requiert aucune authentification préalable, aucun compte valide, aucune interaction utilisateur — la seule condition est un accès réseau au port web de Splunk (généralement 8000 ou 443). Dans de nombreuses organisations, Splunk est accessible depuis l'ensemble du réseau interne, voire depuis des zones DMZ. Un attaquant ayant pénétré le réseau via n'importe quel autre vecteur peut pivoter vers Splunk et obtenir un accès persistant à haute valeur en quelques secondes.

Recommandations

  • Immédiat : Mettre à jour vers Splunk Enterprise 10.0.7 ou 10.2.4
  • En attente du patch : désactiver le PostgreSQL Sidecar Service et bloquer les requêtes vers /v1/postgres/* au niveau du WAF
  • Restreindre l'accès réseau au port web de Splunk aux seules IP légitimes (SOC, administrateurs)
  • Auditer les logs d'accès web à la recherche de requêtes vers /v1/postgres/recovery/ depuis fin mai 2026
  • Vérifier l'intégrité des fichiers du système Splunk pour détecter des fichiers créés anormalement

Alerte critique

CVSS 9.8 sur votre SIEM central : CVE-2026-20253 donne à n'importe quel attaquant réseau le contrôle complet de Splunk sans aucun identifiant. Des PoC circulent depuis le 13 juin 2026. Appliquez le patch en priorité absolue.

Comment vérifier rapidement si mon Splunk est vulnérable ?

Exécutez "splunk version" en ligne de commande ou consultez l'interface web sous Paramètres > À propos de Splunk. Si vous êtes en version 10.0.x inférieure à 10.0.7 ou en 10.2.x inférieure à 10.2.4, vous êtes exposé. Pour confirmer si le composant vulnérable est actif sous Linux : "systemctl status splunk-postgres-sidecar". Les versions 9.x et antérieures ne sont pas affectées.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit