Splunk schließt kritische Sicherheitslücken in Enterprise und Cloud

Die Updates beheben Schwachstellen, die Angreifern unter bestimmten Bedingungen die Fernausführung von Code ermöglichen könnten. Experten raten zur sofortigen Installation.

RCE-Lücke durch manipulierte Temp-Dateien

Im Zentrum der aktuellen Patch-Welle steht die Schwachstelle CVE-2026-20204. Sie weist einen CVSS-Score von 7,1 auf und gilt damit als hohes Risiko. Das Problem: Splunk Enterprise isoliert temporäre Dateien im Verzeichnis für Anwendungs-Templates nicht streng genug.

Während Großunternehmen wie Splunk ihre Systeme patchen, geraten auch kleine Betriebe immer häufiger ins Visier von Hackern. Dieses kostenlose E-Book zeigt, wie Sie Sicherheitslücken schließen und Ihr Unternehmen ohne teure Investitionen vor aktuellen Cyberbedrohungen schützen. Gratis-E-Book: IT-Sicherheit für Unternehmen stärken

Ein Angreifer mit niedrigen Benutzerrechten könnte so bösartigen Code hochladen und im Kontext des Splunk-Dienstes ausführen lassen. Im schlimmsten Fall erlangt er die vollständige Kontrolle über die Instanz. Betroffen sind Versionen vor 10.2.1 sowie die Zweige 10.0.x, 9.4.x und 9.3.x. Auch Splunk Cloud benötigt Updates.

Das Paket vom 15. April adressiert weitere Probleme: CVE-2026-20205 betrifft die Offenlegung sensibler Daten aus der internen Protokollierung. Weitere Korrekturen gibt es für die Zugriffskontrolle bei Datenmodellen und die Validierung von Benutzereingaben.

Bereits im März: Kritische API-Lücke

Die aktuelle Lage wird durch einen früheren Fund verschärft. Bereits Mitte März wurde die Schwachstelle CVE-2026-20163 bekannt. Mit einem CVSS-Wert von 8,0 ist sie noch kritischer. Die Lücke steckt in der REST-API, genauer im Endpunkt für Datei-Upload-Vorschauen.

Hier filtern die Systeme Eingabewerte für Systembefehle nicht ausreichend. Ein privilegierter Nutzer könnte über den Parameter unarchive_cmd eigene Shell-Befehle einschleusen. Diese würde das Betriebssystem dann ausführen.

Zwar benötigt ein Angreifer dafür hohe Rechte – doch genau das macht die Lücke gefährlich. Kompromittierte Admin-Zugänge könnten sofort für einen Angriff auf die Serverebene genutzt werden. Sicherheitsforscher haben den Fehler verantwortungsvoll gemeldet.

Dringend: Systeme sofort aktualisieren

IT-Verantwortliche sollten ihre Splunk-Installationen zeitnah updaten. Als sicher gelten folgende Versionen:
* Splunk Enterprise Version 10.2.1
* Splunk Enterprise Version 10.0.5
* Splunk Enterprise Version 9.4.10
* Splunk Enterprise Version 9.3.11

Besonders perfide sind Angriffe, die gezielt menschliche Schwachstellen ausnutzen, um an privilegierte Zugangsdaten zu gelangen. Das kostenlose Anti-Phishing-Paket enthüllt die psychologischen Tricks der Hacker und bietet eine konkrete Anleitung zur effektiven Abwehr in vier Schritten. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Für Splunk Cloud-Kunden spielt der Anbieter die Updates in der Regel automatisch ein. Sie sollten dennoch prüfen, ob ihre Instanzen mindestens auf Version 10.4.2603.0 oder 10.3.2512.5 laufen.

Ist ein sofortiges Update nicht möglich, empfiehlt Splunk Übergangslösungen. Dazu gehört der strikte Entzug hoher Privilegien, insbesondere des Rechts zur Befehlsbearbeitung. In verteilten Umgebungen kann das Abschalten der Weboberfläche auf Indexern das Risiko mindern.

Warum Splunk im Fokus von Angreifern steht

Die Häufung von Sicherheitsmeldungen unterstreicht die strategische Bedeutung von Splunk. Die Plattformen sammeln oft sicherheitsrelevante Daten eines gesamten Unternehmens – ein gefundenes Fressen für Angreifer.

Ein kompromittiertes Splunk-System dient nicht nur zur Datenmanipulation. Es ist oft der ideale Ausgangspunkt, um sich seitwärts im Firmennetzwerk zu bewegen. Seit der Übernahme durch Cisco stehen die Prozesse bei Splunk noch stärker im Rampenlicht.

Besonders kritisch sind Schwachstellen in REST-APIs. Diese Schnittstellen werden häufig von mobilen Apps oder über VPN-Tunnel angesprochen. Eine Lücke hier öffnet Angreifern oft direkte Wege ins Herz der IT-Infrastruktur.

de | boerse | 69171286 |