Splunk vá lỗ hổng nghiêm trọng cho phép hacker chiếm quyền máy chủ từ xa

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
1.980 bài viết
Splunk vá lỗ hổng nghiêm trọng cho phép hacker chiếm quyền máy chủ từ xa
WhiteHat Team
Nền tảng phân tích dữ liệu và giám sát hệ thống Splunk vừa phát hành bản vá cho một lỗ hổng bảo mật cực kỳ nghiêm trọng trong Splunk Enterprise có thể cho phép tin tặc thực thi mã từ xa mà không cần xác thực. Các chuyên gia cảnh báo đây là dạng lỗ hổng đặc biệt nguy hiểm vì có thể bị khai thác trực tiếp qua mạng và dẫn tới chiếm quyền toàn bộ hệ thống giám sát doanh nghiệp.
2285d016-51cc-437c-bc0a-953ebc6afe1b.png

Lỗ hổng được định danh là CVE-2026-20253, có điểm CVSS 9,8/10 gần mức tối đa trong thang đánh giá mức độ nghiêm trọng. Theo Splunk và các nhà nghiên cứu bảo mật, lỗi tồn tại trong thành phần PostgreSQL sidecar service của Splunk Enterprise do cơ chế xử lý request HTTP không kiểm tra xác thực đúng cách. Điều này khiến kẻ tấn công từ xa có thể gửi request độc hại để tạo hoặc ghi đè file tùy ý trên hệ điều hành phía dưới mà không cần tài khoản đăng nhập.

Điểm đáng lo ngại là lỗ hổng không yêu cầu tương tác người dùng, không cần quyền admin và có thể bị khai thác từ xa nếu hệ thống Splunk mở ra mạng nội bộ hoặc Internet. Theo phân tích của Orca Security, kẻ tấn công có thể lợi dụng khả năng ghi file để chèn mã độc, phá hủy dữ liệu hoặc từng bước leo thang thành thực thi mã từ xa.​

Vì sao lỗ hổng này đặc biệt nguy hiểm?​

Splunk là nền tảng được sử dụng rộng rãi trong các trung tâm SOC, hệ thống SIEM, giám sát log, phân tích bảo mật và vận hành hạ tầng CNTT. Nhiều doanh nghiệp lớn, ngân hàng, cơ quan chính phủ và tổ chức tài chính sử dụng Splunk để thu thập và xử lý log từ toàn bộ hệ thống nội bộ.

Điều này đồng nghĩa nếu một máy chủ Splunk bị chiếm quyền, hacker có thể:​
  • Theo dõi log bảo mật nội bộ​
  • Đánh cắp token, API key hoặc thông tin xác thực​
  • Ẩn dấu vết tấn công khỏi hệ thống giám sát​
  • Mở rộng xâm nhập sang các máy chủ khác​
  • Làm gián đoạn hoạt động SOC và giám sát an ninh mạng​
Trong nhiều môi trường doanh nghiệp, Splunk còn được kết nối trực tiếp với Active Directory, firewall, cloud và hệ thống endpoint, khiến mức độ ảnh hưởng có thể lan rộng toàn hạ tầng.​

Không chỉ một lỗ hổng​

Ngoài CVE-2026-20253, Splunk còn vá thêm nhiều lỗi nghiêm trọng khác trong đợt cập nhật lần này.

Một trong số đó là CVE-2026-20251, điểm CVSS 8,8, ảnh hưởng tới ứng dụng Splunk Secure Gateway. Lỗ hổng này cho phép người dùng có quyền thấp thực hiện deserialization dữ liệu không an toàn thông qua thư viện jsonpickle, từ đó dẫn tới thực thi mã từ xa.

Ngoài ra còn có:​
  • CVE-2026-20258: Stored XSS trong dashboard HTML​
  • CVE-2026-20252: SSRF trong tính năng xuất PDF của Dashboard Studio​
Các lỗi này có thể bị kết hợp thành chuỗi tấn công phức tạp nhằm xâm nhập sâu hơn vào mạng nội bộ doanh nghiệp.​

Phiên bản nào bị ảnh hưởng?​

Theo Splunk, các phiên bản bị ảnh hưởng gồm:​
  • Splunk Enterprise 9.3.x đến 10.2.x​
  • Một số phiên bản Splunk Cloud Platform​
  • Splunk Secure Gateway App 3.8, 3.9 và 3.10​
Splunk đã phát hành bản vá cho các phiên bản:​
  • 10.2.4​
  • 10.0.7​
  • 9.4.12​
  • 9.3.13​
và các bản cập nhật tương ứng cho Splunk Cloud Platform cùng Secure Gateway App.​

Đã có khai thác thực tế chưa?​

Hiện Splunk cho biết chưa phát hiện dấu hiệu bị khai thác ngoài thực tế. Tuy nhiên, giới nghiên cứu cảnh báo nguy cơ khai thác sẽ tăng mạnh vì mã PoC và phân tích kỹ thuật đã bắt đầu xuất hiện công khai.

Trong giới an ninh mạng, các lỗ hổng “không cần xác thực” trên nền tảng doanh nghiệp thường bị vũ khí hóa rất nhanh, đặc biệt với những hệ thống phổ biến như Splunk.​

Các chuyên gia khuyến nghị gì?​

Các chuyên gia bảo mật khuyến nghị quản trị viên cần cập nhật Splunk khẩn cấp, đặc biệt với các hệ thống có thể truy cập qua mạng hoặc Internet.

Ngoài việc vá lỗi, doanh nghiệp nên:​
  • Kiểm tra xem Splunk có public Internet hay không​
  • Giới hạn truy cập tới giao diện quản trị​
  • Tắt hoặc gỡ Splunk Secure Gateway nếu chưa cần thiết​
  • Phân tách mạng cho hệ thống SIEM/SOC​
  • Theo dõi log ghi file bất thường trên máy chủ Splunk​
  • Rà soát các tài khoản và token đã lưu trong hệ thống​
  • Kiểm tra dấu hiệu thực thi command trái phép​
Đối với CVE-2026-20253, Splunk xác nhận hiện không có biện pháp giảm thiểu hoàn chỉnh ngoài cập nhật bản vá. Vụ việc tiếp tục cho thấy các nền tảng giám sát và bảo mật doanh nghiệp đang trở thành mục tiêu ưu tiên của tin tặc. Nếu trước đây hacker chủ yếu nhắm vào máy trạm hoặc email người dùng, thì hiện nay các hệ thống SIEM, quản lý log và giám sát hạ tầng như Splunk đang dần trở thành “cửa ngõ trung tâm” để chiếm quyền toàn bộ mạng doanh nghiệp.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Microsoft vá loạt lỗ hổng Outlook và Word có thể dẫn tới thực thi mã độc
  • 152 tiện ích Chrome bí mật thu thập dữ liệu và giả mạo lưu lượng từ Google Search
  • Google khẩn cấp vá 28 lỗ hổng Chrome, nhiều lỗi có thể dẫn đến chiếm quyền hệ thống
  • Lỗ hổng cho phép thoát máy ảo và chiếm quyền host trên Linux bị công bố mã PoC
  • ChatGPT, Claude và DeepSeek bị lợi dụng trong làn sóng tấn công phishing mới
  • Patch Tuesday tháng 6: Microsoft vá 198 lỗ hổng, xử lý 3 zero-day đang bị khai thác
    • Thẻ
    cve-2026-20251 cve-2026-20252 cve-2026-20253 cve-2026-20258
    Bên trên