Přejít na hlavní obsah
CIAD

Splunk má kritickou bezpečnostní díru. Firmy musí aktualizovat okamžitě

CISA zařadila zranitelnost Splunk Enterprise do katalogu aktivně zneužívaných chyb. Deadline pro záplatu byl 21. 6. 2026.

Americký Úřad pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) zařadil 18. 6. 2026 novou zranitelnost do svého katalogu Known Exploited Vulnerabilities (KEV), tedy seznamu bezpečnostních chyb, které útočníci v reálném světě aktivně zneužívají. Jde historicky o první případ, kdy se do tohoto katalogu dostala chyba v nástroji Splunk Enterprise. Federální agentury USA dostaly deadline na záplatu do 21. 6. 2026 v souladu s direktivou BOD 26-04.

Co je Splunk a proč to vaší firmě může být blízké

Splunk Enterprise je platforma, kterou bezpečnostní týmy středních a velkých firem používají jako centrální systém pro sběr a analýzu bezpečnostních událostí (tzv. SIEM, Security Information and Event Management). V českém veřejném sektoru a finančním odvětví je rozšířený.

Pokud vaše firma Splunk provozuje, je tato zpráva přímou výzvou k akci.

Jaká je konkrétní chyba a co hrozí

Zranitelnost nese označení CVE-2026-20253 (CVE je standardní identifikátor konkrétní bezpečnostní chyby). Spadá do kategorie CWE-306, tedy chybějící ověření identity u kritické funkce. Zjednodušeně: jedna část Splunku, takzvaný PostgreSQL sidecar endpoint, za určitých podmínek nevyžaduje přihlášení. Útočník, který má přístup k síti, může bez přihlášení vytvářet nebo mazat libovolné soubory na serveru. Za příznivých podmínek pro útočníka je možné dosáhnout tzv. vzdáleného spuštění kódu (RCE), tedy situace, kdy útočník na vašem serveru spustí vlastní příkazy.

Postižené jsou verze Splunk Enterprise 10.0.x před 10.0.7 a 10.2.x před 10.2.4.

Výzkumný tým WatchTowr zveřejnil 12. 6. 2026 funkční ukázku útoku (PoC exploit). Potvrzení reálného zneužívání přišlo 18. 6. 2026. Organizace Shadowserver identifikovala více než 1 400 instancí Splunk Enterprise přístupných přímo z internetu, přičemž část z nich stále běží na zranitelných verzích.

Proč je kompromitace SIEM systému zvláště nebezpečná

Splunk je ve firmách nasazen zpravidla jako srdce bezpečnostního dohledu. Útočník, který ho ovládne, může mazat nebo upravovat záznamy o vlastní aktivitě, skrývat svou přítomnost v síti a proniknout do dalších propojených systémů. Jde o útok na samotný nástroj, který má útoky odhalovat.

Co dělat

  • Aktualizujte Splunk Enterprise na verzi 10.0.7 nebo 10.2.4, případně na novější. Jiný způsob ochrany (workaround) není k dispozici.
  • Zkontrolujte, zda jsou vaše instance Splunku přístupné z internetu, a pokud ano, okamžitě omezte přístup výhradně na důvěryhodné sítě nebo VPN.
  • Prověřte záznamy (logy) za období od 12. 6. 2026 na neočekávané operace se soubory nebo neobvyklé síťové dotazy na PostgreSQL sidecar endpoint.
  • Přehodnoťte síťové oddělení (segmentaci) kolem SIEM infrastruktury a ověřte, zda k ní mají přístup pouze oprávněné systémy.
  • Sledujte Splunk Security Advisory pro případné další informace o rozsahu zneužívání.

Co z toho plyne

Rychlost, s jakou útočníci reagují na zveřejnění bezpečnostní chyby, ukazuje, že okno pro záplatování se dramaticky zkracuje. Firmy, které Splunk provozují, nemohou záplatování odkládat. Kompromitace SIEM systému je pro útočníka mimořádně cenná právě proto, že naruší váš bezpečnostní dohled zevnitř.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog