무슨 일이 있었나
Splunk은 2026년 6월 10일 CVE-2026-20253을 공개했으며, 10.0.x 및 10.2.x 브랜치의 Splunk Enterprise 버전에 영향을 미칩니다. Splunk 10에 도입된 PostgreSQL sidecar 서비스 엔드포인트는 완전히 인증 제어(CWE-306)가 부족하여 네트워크에 접근 가능한 모든 인증되지 않은 공격자가 임의의 파일 생성 또는 잘라내기를 실행할 수 있습니다. watchTowr Labs는 이 파일 쓰기 기본 요소를 PostgreSQL의 lo_export 함수를 남용하여 악의적인 스크립트를 작성하고 실행하여 전체 사전 인증 원격 코드 실행으로 연결할 수 있음을 입증했습니다. 공개 PoC는 6월 12일까지 사용 가능했습니다. 활성 악용은 6월 15일부터 관찰되었으며, CISA는 2026년 6월 18일 CVE를 알려진 악용 취약점 카탈로그에 추가했으며 연방 수정 기한은 6월 21일입니다. 수정 사항은 Splunk Enterprise 10.0.7 및 10.2.4에서 사용 가능하며, Splunk Enterprise 10.4 및 Splunk Cloud는 영향을 받지 않습니다.
왜 중요한가
Splunk Enterprise는 지배적인 SIEM 및 로그 분석 플랫폼이며, 원격 측정, 모델 출력 모니터링, 보안 가시성을 위해 AI/ML 운영 파이프라인에서 광범위하게 사용됩니다. Splunk 서버의 손상으로 인해 공격자는 방어자의 탐지 인프라에 대한 완전한 가시성과 제어를 얻을 수 있으며, AI 워크로드에 대한 추가 공격 전에 맹점 생성이 가능합니다. CISA KEV 목록은 3일의 연방 패치 기한이 있는 활성 현장 악용을 확인합니다.
공격 경로
인증되지 않은 네트워크 공격자가 PostgreSQL sidecar 서비스 엔드포인트에 요청을 보내 누락된 인증을 악용하여 공격자가 제어하는 파일을 작성합니다. 그런 다음 파일은 PostgreSQL의 lo_export 함수를 통해 실행되어 원격 코드 실행을 달성합니다 — 자격증명이 필요하지 않습니다.
영향받는 시스템
Splunk Enterprise 10.0.x (10.0.7에서 수정) 및 10.2.x (10.2.4에서 수정); AWS의 Splunk Enterprise는 기본적으로 sidecar가 활성화되어 있습니다
완화 방안
즉시 Splunk Enterprise 10.0.7 또는 10.2.4로 업그레이드하십시오. 패칭이 즉시 가능하지 않으면 PostgreSQL sidecar 서비스 포트에 대한 네트워크 액세스를 제한하십시오. Splunk Cloud 고객은 공급업체 관리 패칭으로 보호됩니다. 권고: https://advisory.splunk.com/advisories/SVD-2026-0603