무슨 일이 있었나
Splunk Enterprise는 인증되지 않은 공격자가 임의의 파일을 생성하거나 자를 수 있도록 허용하는 PostgreSQL sidecar 서비스 엔드포인트의 중대한 취약점을 포함하고 있습니다. WatchTowr의 연구원들은 공개 후 48시간 내에 PoC를 발표했으며, CISA는 6월 12일까지 활발한 야생 악용을 확인한 후 2026년 6월 18일에 KEV 카탈로그에 추가했습니다. 이 취약점은 전체 시스템 침해를 가능하게 합니다.
왜 중요한가
Splunk는 LLM 추론, 에이전트 동작 및 데이터 파이프라인을 추적하는 데 사용되는 중요한 AI/ML 관찰성 및 모니터링 인프라 구성 요소입니다. Splunk 배포의 침해는 저장된 모든 AI 모델 로그, 프롬프트, 응답 및 추론 메타데이터를 직접 노출합니다. 공격자는 AI 배포의 전체 보안 및 관찰성 계층에 대한 관리자 액세스를 얻습니다.
공격 경로
인증되지 않은 공격자가 노출된 PostgreSQL sidecar 서비스 엔드포인트에 도달하고 파일 생성/자르기 작업을 호출하여 임의의 파일 시스템 위치에 파일을 작성하여 RCE로 이어집니다.
영향받는 시스템
Splunk Enterprise 10.0.x 및 10.2.x 버전 10.0.7 및 10.2.4 미만
완화 방안
Splunk Enterprise 10.0.7 또는 10.2.4 이상으로 업데이트; CISA 마감일 2026년 6월 21일