Celah Kritis Splunk Enterprise Bisa Dicapai Tanpa Login, Skor CVSS 9.8 Ancam Server AWS
Celah Kritis Splunk Enterprise Bisa Dicapai Tanpa Login, Skor CVSS 9.8 Ancam Server AWS
CLB.my.id - Peneliti keamanan dari watchTowr Labs menemukan celah kritis pada Splunk Enterprise yang memungkinkan eksekusi kode jarak jauh tanpa autentikasi. Dilacak dengan nomor CVE-2026-20253, kerentanan ini mendapat skor CVSS maksimal 9.8 dan menargetkan layanan PostgreSQL Sidecar yang diperkenalkan di Splunk versi 10.
Titik Masuk yang Tersembunyi
Akar masalah berada di API layanan PostgreSQL Sidecar yang mendengarkan secara lokal di port 5435. Aplikasi web utama Splunk di port 8000 meneruskan permintaan langsung ke layanan internal ini tanpa melalui proses autentikasi apa pun. Kondisi ini membuka jalur bagi penyerang untuk menjangkau layanan yang seharusnya terisolasi.
Menurut analisis watchTowr, layanan sidecar ini tidak aktif secara default pada deployment Windows on-premises. Namun, instance Splunk yang di-hosting di AWS justru mengaktifkannya sejak awal. Artinya, server Splunk di cloud Amazon berada dalam kondisi rentan sejak pertama kali di-deploy.
Rantai Eksploitasi Lima Tahap
Penyerang bisa memanfaatkan endpoint API yang tidak terproteksi, yaitu v1/postgres/recovery/backup dan restore, melalui rantai operasi yang presisi. Tahap pertama adalah mengekstrak kredensial database lokal dari file teks biasa di lokasi opt/splunk/var/packages/data/postgres/.pgpass.
Tahap kedua menggunakan parameter hostaddr untuk mengganti koneksi dan memaksa Splunk terhubung ke database yang dikendalikan penyerang. Tahap ketiga memanfaatkan endpoint backup untuk mendump database remote berbahaya ke sistem file lokal Splunk.
Tahap keempat menggunakan endpoint restore dengan kredensial passfile yang telah dicuri untuk memuat dump berbahaya ke instance PostgreSQL lokal. Proses ini memungkinkan eksekusi fungsi SQL tertanam melalui lo_export untuk menulis file arbitrary ke sistem. Tahap kelima menimpa script yang sering dieksekusi, seperti ssg_enable_modular_input.py, dengan payload Python berbahaya untuk menjalankan perintah shell.
Versi Terdampak dan Patch
Splunk Enterprise versi 10.0.0 hingga 10.0.5 terdampak oleh kerentanan ini. Patch sudah tersedia di versi 10.0.6 dan setelahnya. Administrator disarankan segera memperbarui ke versi terbaru.
Sebelum patch diterapkan, tim keamanan bisa memanfaatkan Detection Artifact Generator yang disediakan watchTowr untuk menguji apakah instance rentan terhadap akses API tanpa autentikasi. Pembatasan akses jaringan ke antarmuka web Splunk dan pemantauan modifikasi file anomali di direktori opt/splunk menjadi langkah kritis sementara.
Dampak untuk Pengguna Indonesia
Banyak organisasi di Indonesia yang mengandalkan Splunk untuk keamanan siber, monitoring log, dan analitik operasional. Celah ini menjadi peringatan keras bagi tim IT yang menjalankan Splunk di AWS atau lingkungan cloud lainnya. Pemeriksaan arsitektur untuk memastikan apakah layanan PostgreSQL Sidecar aktif atau tidak menjadi langkah pertama yang harus segera dilakukan.***
