Splunk, entitas di bawah naungan Cisco, baru saja merilis pembaruan keamanan darurat untuk mengatasi kelemahan fatal pada sistem Splunk Enterprise. Kerentanan yang dilacak sebagai CVE-2026-20253 ini diberi skor sangat kritis, yakni 9.8 dari 10 pada sistem penilaian CVSS.

Akar permasalahan ini terletak pada absennya kontrol autentikasi pada titik akhir (endpoint) layanan sidecar PostgreSQL. Celah ini membuka pintu bagi pengguna tak terautentikasi—asalkan terhubung dalam jaringan—untuk mengeksekusi operasi fail secara arbitrer yang dapat berujung pada Eksekusi Kode Jarak Jauh (Remote Code Execution / RCE). Splunk Cloud dipastikan tidak terdampak karena tidak menggunakan sidecar Postgres dalam arsitekturnya.

Baca Juga: Krisis Demografi, Korea Selatan Percepat Transisi Smart Army Berbasis AI

Status Pembaruan Versi Splunk Enterprise:

Pada hari Jumat pekan lalu, firma keamanan watchTowr Labs merilis perincian teknis eksploitasi (Proof-of-Concept). Peneliti keamanan Piotr Bazydlo dan Yordan Ganchev mendemonstrasikan bagaimana penyerang dapat mencapai RCE pra-autentikasi (pre-authenticated RCE) dengan mengeksploitasi dua titik akhir utama: /v1/postgres/recovery/backup dan /v1/postgres/recovery/restore.

Rantai serangan ini beroperasi dalam tiga fase taktis:

1. Manipulasi Titik Akhir Pencadangan (Backup): Penyerang terhubung ke basis data eksternal yang mereka kendalikan sendiri, lalu membuang (dump) isinya ke dalam sebuah fail arbitrer di sistem Splunk menggunakan titik akhir /backup.
2. Pemulihan (Restore) Berbahaya dan Pencurian Akses: Penyerang kemudian memuat fail dump tersebut ke dalam instans PostgreSQL lokal Splunk menggunakan titik akhir /restore. Mereka menyertakan argumen passfile yang menunjuk secara spesifik ke jalur /opt/splunk/var/packages/data/postgres/.pgpass—fail yang menyimpan kata sandi untuk pengguna administratif postgres_admin.
3. Injeksi Kode dan Eskalasi RCE: Kueri SQL jahat yang berada di dalam dump kini tereksekusi oleh PostgreSQL lokal Splunk. Penyerang menggunakan fungsi lo_export (fungsi untuk mengekstrak BLOB menjadi fail di sistem) guna menimpa skrip Python internal yang rutin dieksekusi oleh Splunk, contohnya skrip /opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py.

Saat Splunk mengeksekusi skrip Python yang telah disusupi ini, penyerang berhasil mendapatkan eksekusi kode sepenuhnya pada sistem target (Remote Code Execution).

Kerentanan dengan skor CVSS 9.8 yang mengekspos sistem tanpa syarat autentikasi adalah bom waktu, terutama ketika metode eksploitasinya (PoC) telah dipublikasikan ke ranah publik.

Dari sudut pandang arsitektur keamanan korporat, Fourtrezz menyoroti kelemahan fundamental dan langkah mitigasi berikut:

• Risiko Arsitektur Sidecar: Penggunaan layanan sidecar (seperti pada implementasi PostgreSQL ini) sering kali luput dari pemeriksaan kontrol akses utama karena dianggap beroperasi di "lingkungan tepercaya" (trusted loop). Kasus ini membuktikan bahwa setiap titik akhir API internal tetap membutuhkan verifikasi identitas (prinsip Zero-Trust).
• Pemantauan Integritas Skrip: Serangan RCE pada akhirnya dicapai dengan menimpa skrip Python operasional. Perusahaan harus menerapkan Pemantauan Integritas Fail (File Integrity Monitoring / FIM) yang membunyikan alarm kritis (Critical Alert) jika skrip inti aplikasi tiba-tiba dimodifikasi oleh proses non-administrator.
• Tindakan Segera: Walaupun saat ini belum ada indikasi eksploitasi aktif di alam liar (in the wild), ketersediaan spesifikasi eksploitasi oleh watchTowr Labs akan memicu aktor ancaman (seperti operator ransomware) untuk segera melakukan pemindaian massal. Tim TI harus melakukan pembaruan ke versi patch (10.0.7 atau 10.2.4) dalam jendela waktu kurang dari 24 jam.