هشدار فوری: آسیب پذیری بحرانی RCE در Splunk بدون نیاز به احراز هویت؛ مهاجمان در حال سوءاستفاده از سرورهای سازمانی

اگر از Splunk برای مانیتورینگ و امنیت زیرساخت خود استفاده می‌کنید، امروز را به تعویق نیندازید. یک آسیب‌پذیری بحرانی از نوع RCE (اجرای کد از راه دور) با شناسه CVE-2026-20253 به طور فعال در فضای اینترنت مورد سوءاستفاده قرار گرفته است و آنچه این تهدید را برای سرورهای سازمانی بسیار خطرناک می‌کند، نیاز نداشتن به احراز هویت (Unauthenticated) برای بهره‌برداری از آن است.

آسیب پذیری بحرانی RCE در Splunk که به تازگی به فهرست آسیب‌پذیری‌های در حال بهره‌برداری سازمان CISA نیز اضافه شده، مهلتی برای بخش‌های فدرال ایالات متحده تا ۲۱ ژوئن تعیین کرده است؛ اما سازمان‌های تجاری و ارائه‌دهندگان خدمات میزبانی باید هرچه سریع‌تر با استفاده از خدمات امنیت شبکه، نسبت به ایمن‌سازی سرورهای خود اقدام کنند.

چگونه این آسیب‌پذیری زیرساخت سرور شما را تهدید می‌کند؟

اساس کار Splunk جمع‌آوری و ایندکس کردن لاگ‌های تمام سرورها و تجهیزات شبکه است تا به عنوان چشمان بینای سازمان (SIEM) عمل کند. آسیب پذیری بحرانی RCE در Splunk به دلیل نبود کنترل دسترسی (Authentication) در سرویس جانبی PostgreSQL (که وظیفه پشتیبان‌گیری از پایگاه‌داده را بر عهده دارد)، به مهاجم اجازه می‌دهد:

• دستکاری فایل‌های سیستمی: ایجاد یا حذف فایل‌ها در سرور شما.
• اجرای کد مخرب: مهاجم می‌تواند با اجرای کد دلخواه، کنترل کامل سرور Splunk را در دست بگیرد.
• خاموشی نظارت امنیتی: با نفوذ به Splunk، مهاجم دید امنیتی تیم شما را کور کرده و می‌تواند بدون شناسایی به حرکت جانبی (Lateral Movement) در شبکه بپردازد.
• افشای اطلاعات حیاتی: دسترسی به کلیدها، توکن‌ها و اعتبارنامه‌های ذخیره‌شده در سیستم.

نشانه‌های حمله (IOCها) که باید در سرورهای خود رصد کنید

تیم امنیتی Resecurity و سازنده Splunk اعلام کرده‌اند که در حملات فعال، مهاجمان از الگوهای خاصی استفاده می‌کنند. تیم شبکه و امنیت شما باید لاگ‌ها و ترافیک سرور را برای موارد زیر فیلتر کند:

1. ردپای مسیرپیمایی: درخواست‌های مشکوک حاوی عبارت ../ برای خروج از دایرکتوری اصلی.
2. پارامترهای غیرعادی PostgreSQL: مشاهده مواردی نظیر hostaddr=، dbname= یا passfile= در درخواست‌ها که نشان از تلاش برای اتصال به دیتابیس خارجی دارد.
3. اجرای فرآیندهای مشکوک: مشاهده اجرای غیرمنتظره دستورات pg_dump یا pg_restore روی سرور.
4. خروج دامپ دیتابیس: ایجاد فایل‌های پشتیبان سنگین در مسیرهایی غیر از مسیر پیش‌فرض.
5. ارتباطات خروجی عجیب: برقراری اتصال از سمت سرور Splunk شما به یک سرور PostgreSQL ناشناس در اینترنت.

اقدامات فوری برای تیم فنی و شبکه

اگر از اسپلانک برای مانیتورینگ شبکه خود استفاده می‌کنید، فوراً اقدامات زیر را انجام دهید:

• اولویت اول (وصله‌گذاری): بلافاصله نسخه Splunk خود را به یکی از نسخه‌های امن اعلام‌شده شامل ۱۰.۴.۰، ۱۰.۲.۴ و ۱۰.۰.۷ یا بالاتر ارتقا دهید.
• راهکار موقت (در صورت عدم امکان وصله): در تاریخ ۱۵ ژوئن، خود شرکت Splunk اعلام کرد که در صورت غیرفعال کردن سرویس جانبی PostgreSQL sidecar، می‌توان از سوءاستفاده جلوگیری کرد (البته با این کار بخشی از قابلیت پشتیبان‌گیری با مشکل مواجه می‌شود).
• تست آسیب‌پذیری: از ابزارها و اسکریپت‌های منتشر شده توسط محققان (مانند نسخه خنثی‌شده Exploit توسط watchTowr و قالب تشخیص Nuclei) برای تست صحت ایمن‌سازی سرور خود استفاده کنید.

جمع‌بندی بررسی آسیب پذیری بحرانی RCE در Splunk

این آسیب‌پذیری یکی از جدی‌ترین تهدیدات علیه لایه مانیتورینگ شبکه در سال جاری محسوب می‌شود. از آنجایی که Splunk به عنوان هسته مرکزی جمع‌آوری اطلاعات امنیتی عمل می‌کند، یک نفوذ موفق به معنای از دست دادن کامل دید نسبت به رویدادهای شبکه و امکان پنهان‌سازی حملات ثانویه (مانند باج‌افزاری یا نشت داده) خواهد بود. توصیه می‌شود هم‌اکنون وضعیت سرورهای خود را بررسی کرده و نسبت به بروزرسانی اقدام نمایید. در صورت نیاز به خدمات امنیت شبکه پیشرفته، می‌توانید از خدمات فالنیک استفاده کنید و رفع این آسیب پذیری را به کارشناسان ما بسپارید:

خدمات امنیت شبکه توسط بهترین‌ها

متخصصان ما با اجرای بیش از 9 هزار پروژه موفق IT و به پشتوانه سه دهه تجربه در حوزه شبکه، امنیت شبکه شما را به بهترین نحو تامین می‌کنند. همین حالا با ما تماس بگیرید و ضمن استفاده از مشاوره رایگان متخصصان ما، شبکه‌ی خود را به دژی غیر قابل نفوذ تبدیل کنید.

خدمات امنیت شبکهمشاوره رایگان