2026-06-19 00:00
← VoltarA Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) instou as agências federais a protegerem seus sistemas até domingo contra uma vulnerabilidade crítica do Splunk Enterprise que está sendo explorada em ataques. Rastreada como CVE-2026-20253, essa falha de segurança afeta o Splunk Enterprise (versões 10.2.0 a 10.2.3 e 10.0.0 a 10.0.6) e permite que invasores remotos sem privilégios criem ou trunquem arquivos arbitrários em dispositivos vulneráveis por meio de um endpoint de serviço secundário PostgreSQL. “A vulnerabilidade existe porque o endpoint de serviço secundário do PostgreSQL não possui controles de autenticação, permitindo que qualquer usuário acessível pela rede invoque operações de arquivo sem credenciais”, disse a equipe de segurança do Splunk em um comunicado de segurança publicado na semana passada. Em 12 de junho, dias após o Splunk lançar patches de segurança, a WatchTowr publicou um artigo técnico, compartilhou um código de exploração de prova de conceito e alertou que a falha pode ser abusada para ataques de execução remota de código. Na quarta-feira, 18 de junho, o Splunk atualizou seu comunicado, instando os clientes a corrigirem seus sistemas o mais rápido possível devido a evidências de exploração espontânea. “Em junho de 2026, a Equipe de Resposta a Incidentes de Segurança do Produto Splunk (PSIRT) tomou conhecimento da exploração limitada desta vulnerabilidade. O Splunk recomenda fortemente que os clientes atualizem para uma versão...
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) instou as agências federais a protegerem seus sistemas até domingo contra uma vulnerabilidade crítica do Splunk Enterprise que está sendo explorada em ataques. Rastreada como CVE-2026-20253, essa falha de segurança afeta o Splunk Enterprise (versões 10.2.0 a 10.2.3 e 10.0.0 a 10.0.6) e permite que invasores remotos sem privilégios criem ou trunquem arquivos arbitrários em dispositivos vulneráveis por meio de um endpoint de serviço secundário PostgreSQL. “A vulnerabilidade existe porque o endpoint de serviço secundário do PostgreSQL não possui controles de autenticação, permitindo que qualquer usuário acessível pela rede invoque operações de arquivo sem credenciais”, disse a equipe de segurança do Splunk em um comunicado de segurança publicado na semana passada. Em 12 de junho, dias após o Splunk lançar patches de segurança, a WatchTowr publicou um artigo técnico, compartilhou um código de exploração de prova de conceito e alertou que a falha pode ser abusada para ataques de execução remota de código. Na quarta-feira, 18 de junho, o Splunk atualizou seu comunicado, instando os clientes a corrigirem seus sistemas o mais rápido possível devido a evidências de exploração espontânea. “Em junho de 2026, a Equipe de Resposta a Incidentes de Segurança do Produto Splunk (PSIRT) tomou conhecimento da exploração limitada desta vulnerabilidade. O Splunk recomenda fortemente que os clientes atualizem para uma versão de software fixa para remediar esta vulnerabilidade”, afirmou. O grupo de vigilância de segurança da Internet Shadowserver rastreia mais de 1.400 instâncias do Splunk expostas à Internet, a maioria delas da América do Norte (952) e da Europa (223).
No entanto, não há informações sobre quantos deles estão vulneráveis a ataques contínuos direcionados à falha CVE-2026-20253. Instâncias Splunk expostas online (Shadowserver) Na quinta-feira, a CISA confirmou que os atores da ameaça agora estão abusando ativamente da vulnerabilidade CVE-2026-20253 em ataques e ordenou que as agências do Poder Executivo Civil Federal (FCEB) corrigissem suas instâncias Splunk até domingo, conforme exigido pela Diretiva Operacional Vinculante (BOD) 26-04. Emitido na semana passada, o BOD 26-04 da CISA exige que as agências governamentais dos EUA priorizem a correção com base no risco de exploração de cada vulnerabilidade. “Esse tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para as empresas federais”, disse ontem a agência de segurança cibernética. “As partes interessadas são responsáveis por avaliar a exposição de cada ativo na Internet e garantir a adesão às diretrizes de correção do BOD 26-04.” O Splunk também compartilhou medidas de mitigação para administradores que não conseguem corrigir imediatamente sistemas vulneráveis, aconselhando-os a desabilitar o serviço secundário PostgreSQL para remover a superfície de ataque. No entanto, também alertou que desabilitar o PostgreSQL quebraria os pipelines de dados do Edge Processor, OpAmp ou SPL2 nas instâncias afetadas.