무슨 일이 있었나
Splunk은 2026년 6월 10일 CVE-2026-20253을 공개했으며, 10.0.x 및 10.2.x 브랜치의 Splunk Enterprise 버전에 영향을 미친다. Splunk 10에서 도입된 PostgreSQL sidecar 서비스 엔드포인트는 인증 제어가 완전히 부족하며 (CWE-306), 네트워크에 도달할 수 있는 모든 인증되지 않은 공격자가 임의의 파일 생성 또는 자르기를 호출할 수 있다. watchTowr Labs는 이 파일 쓰기 프리미티브를 PostgreSQL의 lo_export 함수를 악용하여 악성 스크립트를 작성하고 실행함으로써 전체 사전 인증 원격 코드 실행으로 체인할 수 있음을 입증했다. 공개 PoC는 6월 12일까지 사용 가능했다. 활성 악용은 6월 15일부터 관찰되었으며, CISA는 2026년 6월 18일 CVE를 알려진 악용된 취약점 카탈로그에 추가했고, 연방 수정 기한은 6월 21일이다. 수정 사항은 Splunk Enterprise 10.0.7 및 10.2.4에서 사용 가능하며, Splunk Enterprise 10.4 및 Splunk Cloud는 영향을 받지 않는다.
왜 중요한가
Splunk Enterprise는 지배적인 SIEM 및 로그 분석 플랫폼이며, 텔레메트리, 모델 출력 모니터링 및 보안 관찰성을 위해 AI/ML 운영 파이프라인에서 광범위하게 사용된다. Splunk 서버의 손상은 공격자에게 방어자의 탐지 인프라에 대한 완전한 가시성과 제어를 제공하며, 추가 AI 워크로드 공격 전에 맹점 생성을 가능하게 한다. CISA KEV 목록은 3일의 연방 패치 기한을 가진 활성 야생 악용을 확인한다.
공격 경로
인증되지 않은 네트워크 공격자가 PostgreSQL sidecar 서비스 엔드포인트로 요청을 보내고, 누락된 인증을 악용하여 공격자가 제어하는 파일을 작성한다. 파일은 그 후 PostgreSQL의 lo_export 함수를 통해 실행되어 원격 코드 실행을 달성한다 — 자격 증명이 필요하지 않다.
영향받는 시스템
Splunk Enterprise 10.0.x (10.0.7에서 수정됨) 및 10.2.x (10.2.4에서 수정됨); AWS의 Splunk Enterprise는 기본적으로 sidecar가 활성화되어 있다.
완화 방안
즉시 Splunk Enterprise 10.0.7 또는 10.2.4로 업그레이드하십시오. 패칭이 즉시 가능하지 않은 경우, PostgreSQL sidecar 서비스 포트로의 네트워크 접근을 제한하십시오. Splunk Cloud 고객은 공급업체 관리 패칭으로 보호된다. 권고: https://advisory.splunk.com/advisories/SVD-2026-0603