สรุปสั้น
บริษัท Splunk ซึ่งเป็นบริษัทในเครือบริษัท Cisco ได้เปิดเผยและแก้ไขช่องโหว่ร้ายแรง CVE-2026-20253 ที่มีคะแนน CVSS 9.8 ใน Splunk Enterprise ช่องโหว่นี้เปิดให้ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถรันโค้ดจากระยะไกล (Remote Code Execution) ได้ สาเหตุมาจาก PostgreSQL sidecar service endpoint ที่ขาดการควบคุมสิทธิ์การเข้าถึง ทำให้ผู้ใดก็ตามที่เข้าถึงเครือข่ายได้สามารถสร้างหรือตัดทอนไฟล์ใด ๆ บนระบบ
เวอร์ชันที่ได้รับผลกระทบคือ Splunk Enterprise 10.0.0 ถึง 10.0.6 และ 10.2.0 ถึง 10.2.3 โดยได้รับการแก้ไขแล้วในเวอร์ชัน 10.0.7 และ 10.2.4 ตามลำดับ ส่วนเวอร์ชัน 10.4 และ Splunk Cloud ไม่ได้รับผลกระทบ
นักวิจัยนายปิโอเตอร์ บาซีดโว (Piotr Bazydlo) และนายยอร์ดัน กันเชฟ (Yordan Ganchev) จากบริษัท watchTowr Labs ได้เผยแพร่รายละเอียด proof-of-concept (PoC) ที่แสดงห่วงโซ่การโจมตีที่นำไปสู่การรันโค้ดจากระยะไกลเต็มรูปแบบผ่าน endpoint ของ PostgreSQL service
ณ ขณะนี้ยังไม่พบหลักฐานการถูกโจมตีจริงในสภาพแวดล้อมจริง แต่เนื่องจากรายละเอียด PoC ถูกเผยแพร่แล้ว จึงมีความเสี่ยงสูงที่จะถูกนำไปใช้โจมตีในอนาคตอันใกล้
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 13 มิถุนายน พ.ศ. 2569 ว่า บริษัท Splunk ซึ่งเป็นบริษัทในเครือบริษัท Cisco ได้เปิดเผยช่องโหว่ร้ายแรง CVE-2026-20253 ที่มีคะแนน CVSS 9.8 ใน Splunk Enterprise ซึ่งเป็นแพลตฟอร์ม SIEM (Security Information and Event Management) ที่ใช้กันอย่างแพร่หลายในองค์กรทั่วโลก ช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถรันโค้ดจากระยะไกลได้ (unauthenticated RCE) ผ่าน PostgreSQL sidecar service endpoint ที่ขาดการควบคุมสิทธิ์การเข้าถึง
เวอร์ชันที่ได้รับผลกระทบคือ Splunk Enterprise 10.0.0 ถึง 10.0.6 (แก้ไขแล้วในเวอร์ชัน 10.0.7) และ 10.2.0 ถึง 10.2.3 (แก้ไขแล้วในเวอร์ชัน 10.2.4) ส่วนเวอร์ชัน 10.4 ไม่ได้รับผลกระทบ และ Splunk Cloud ก็ไม่ได้รับผลกระทบเช่นกันเนื่องจากไม่มี PostgreSQL sidecar
นักวิจัยนายปิโอเตอร์ บาซีดโว และนายยอร์ดัน กันเชฟ จากบริษัท watchTowr Labs ได้เผยแพร่รายละเอียด PoC ที่แสดงวิธีการใช้ช่องโหว่นี้เพื่อรันโค้ดจากระยะไกลเต็มรูปแบบ ห่วงโซ่การโจมตีเริ่มจากการใช้ endpoint /v1/postgres/recovery/backup เพื่อเชื่อมต่อไปยังฐานข้อมูลที่ผู้โจมตีควบคุมและดึง dump ออกมา จากนั้นใช้ endpoint /v1/postgres/recovery/restore พร้อม argument passfile ที่ชี้ไปยังไฟล์ .pgpass ซึ่งมีรหัสผ่าน postgres_admin อยู่ เพื่อโหลด dump กลับเข้าไป โดย SQL queries ที่ฝังอยู่ใน dump จะถูก PostgreSQL ของ Splunk รันโดยอัตโนมัติ
ผู้โจมตีสามารถใช้ฟังก์ชัน lo_export ของ PostgreSQL เพื่อเขียนไฟล์ที่ตนควบคุมลงในระบบ จากนั้นเขียนทับสคริปต์ Python ที่ Splunk รันเป็นประจำ เช่น ssg_enable_modular_input.py เพื่อให้ได้สิทธิ์ในการรันโค้ดตามต้องการ ณ ขณะนี้ยังไม่พบหลักฐานว่ามีการโจมตีจริง แต่เนื่องจากรายละเอียด PoC ถูกเผยแพร่แล้ว ผู้ดูแลระบบควรอัปเดตแพตช์โดยเร็วที่สุด
รายละเอียดช่องโหว่
CVE-2026-20253 — Unauthenticated Remote Code Execution
- CVSS Score: 9.8 (Critical)
- ผลิตภัณฑ์ที่ได้รับผลกระทบ: Splunk Enterprise 10.0.0–10.0.6 และ 10.2.0–10.2.3
- เวอร์ชันที่แก้ไข: 10.0.7 และ 10.2.4
- ไม่ได้รับผลกระทบ: Splunk Enterprise 10.4 และ Splunk Cloud
- สาเหตุ: PostgreSQL sidecar service endpoint ขาดการตรวจสอบสิทธิ์
ห่วงโซ่การโจมตี (Attack Chain):
- เชื่อมต่อฐานข้อมูลภายนอก — ผู้โจมตีเรียก endpoint
/v1/postgres/recovery/backupเพื่อบังคับให้ Splunk เชื่อมต่อไปยังฐานข้อมูล PostgreSQL ที่ผู้โจมตีควบคุมและส่งออก dump - ขโมยรหัสผ่าน postgres_admin — ใช้ endpoint
/v1/postgres/recovery/restoreพร้อม argumentpassfileที่ชี้ไปยังไฟล์.pgpassซึ่งเก็บรหัสผ่านpostgres_adminไว้ - รัน SQL อันตราย — โหลด dump ที่มี SQL queries อันตรายฝังอยู่ ซึ่งจะถูก PostgreSQL ของ Splunk รันโดยอัตโนมัติ
- เขียนไฟล์ลงระบบ — ใช้ฟังก์ชัน
lo_exportเพื่อเขียนไฟล์ที่ผู้โจมตีควบคุมลงในระบบไฟล์ของ Splunk - RCE — เขียนทับสคริปต์ Python ที่ Splunk รันเป็นประจำ (เช่น
ssg_enable_modular_input.py) เพื่อให้ได้สิทธิ์ในการรันโค้ดตามต้องการ
จุดอันตราย: ช่องโหว่นี้ไม่ต้องการการยืนยันตัวตนใด ๆ ผู้โจมตีเพียงแค่เข้าถึงเครือข่ายที่ Splunk Enterprise อยู่ก็สามารถโจมตีได้ทันที และเนื่องจาก Splunk เป็นระบบ SIEM ที่รวบรวมข้อมูลความปลอดภัยทั้งหมดขององค์กร การถูกบุกรุกจึงหมายถึงการสูญเสียทั้งข้อมูลและความสามารถในการตรวจจับภัยคุกคาม
ผลกระทบต่อไทย
Splunk Enterprise เป็นแพลตฟอร์ม SIEM ที่ถูกใช้อย่างแพร่หลายในองค์กรขนาดใหญ่ สถาบันการเงิน และหน่วยงานรัฐในประเทศไทย ช่องโหว่ระดับ CVSS 9.8 ที่ไม่ต้องยืนยันตัวตนนี้เป็นความเสี่ยงสูงมากสำหรับองค์กรที่ยังไม่ได้อัปเดตแพตช์
เนื่องจาก Splunk มักถูกติดตั้งในตำแหน่งที่มีสิทธิ์เข้าถึงข้อมูลความปลอดภัยทั้งหมดขององค์กร การถูกบุกรุกอาจส่งผลให้ผู้โจมตีเข้าถึง log ที่มีข้อมูลสำคัญ รวมถึงปิดกั้นความสามารถในการตรวจจับภัยคุกคามของทีม SOC
คำแนะนำ
- อัปเดต Splunk Enterprise ทันที — อัปเกรดเป็นเวอร์ชัน 10.0.7, 10.2.4 หรือ 10.4 โดยเร็วที่สุด
- จำกัดการเข้าถึงเครือข่าย — หากยังไม่สามารถอัปเดตได้ทันที ให้จำกัดการเข้าถึง PostgreSQL sidecar endpoint ด้วย firewall rule โดยอนุญาตเฉพาะ IP ที่จำเป็น
- ตรวจสอบ log — ตรวจสอบ access log สำหรับการเรียก endpoint
/v1/postgres/recovery/backupและ/v1/postgres/recovery/restoreที่ผิดปกติ - ตรวจสอบไฟล์ที่ถูกแก้ไข — ตรวจสอบว่าไฟล์ Python ที่ Splunk รันเป็นประจำ (เช่น
ssg_enable_modular_input.py) ไม่ถูกแก้ไขโดยไม่ได้รับอนุญาต - Network segmentation — แยก Splunk server ไว้ใน segment เครือข่ายที่จำกัดการเข้าถึงจากภายนอก
