CISA đã đưa ra cảnh báo ưu tiên cao, thông báo cho các tổ chức về một lỗ hổng nghiêm trọng trên Splunk Enterprise đang bị khai thác tích cực trong thực tế. Lỗ hổng này, được theo dõi là CVE-2026-20253, đã được thêm vào danh mục Các lỗ hổng đã biết bị khai thác (KEV) của CISA, cho thấy rủi ro tức thời đối với môi trường doanh nghiệp.
Chi tiết Lỗ hổng CVE-2026-20253
Theo CISA, lỗ hổng phát sinh do thiếu cơ chế xác thực cho một chức năng quan trọng trong Splunk Enterprise. Cụ thể, vấn đề ảnh hưởng đến một điểm cuối dịch vụ PostgreSQL sidecar mà kẻ tấn công không cần xác thực có thể lợi dụng.
Cơ chế Khai thác
Việc khai thác thành công cho phép các tác nhân đe dọa tạo hoặc xóa tùy ý các tệp trên hệ thống bị ảnh hưởng, có khả năng gây ra sự gián đoạn hoạt động nghiêm trọng hoặc xâm nhập sâu hơn. Lỗ hổng này thuộc nhóm CWE-306 (Thiếu xác thực cho chức năng quan trọng), một loại lỗ hổng tiếp tục gây ra rủi ro đáng kể do kiểm soát truy cập không đầy đủ trên các hoạt động nhạy cảm.
Trong trường hợp này, kẻ tấn công không yêu cầu thông tin đăng nhập hợp lệ để khai thác vấn đề, làm tăng đáng kể mức độ nghiêm trọng của nó và khiến các phiên bản Splunk Enterprise bị phơi nhiễm trên internet trở nên đặc biệt dễ bị tổn thương.
Tác động Tiềm ẩn
Mặc dù chưa có chiến dịch ransomware nào được xác nhận, CISA nhấn mạnh rằng lỗ hổng này mang lại rủi ro cao do dễ khai thác và tác động tiềm tàng. Kẻ tấn công có thể tận dụng khả năng tạo hoặc xóa tệp tùy ý để thao túng hành vi hệ thống, làm gián đoạn cơ chế ghi nhật ký hoặc triển khai các payload bổ sung.
Cảnh báo và Yêu cầu từ CISA
CISA đã bổ sung CVE-2026-20253 vào danh mục KEV của mình vào ngày 18 tháng 6 năm 2026 và đã yêu cầu khắc phục theo Chỉ thị Hoạt động Ràng buộc (BOD) 26-04. Các cơ quan liên bang được yêu cầu giải quyết lỗ hổng này trước ngày 21 tháng 6 năm 2026, nhấn mạnh tính cấp bách của mối đe dọa này.
Chỉ thị này ưu tiên việc vá lỗi nhanh chóng các lỗ hổng đang bị khai thác tích cực và có rủi ro đáng kể đối với mạng lưới liên bang. Các nhóm bảo mật được khuyến cáo mạnh mẽ tuân theo hướng dẫn giảm thiểu do nhà cung cấp Splunk cung cấp.
Khuyến nghị Hành động
Các tổ chức nên ngay lập tức đánh giá xem các triển khai Splunk Enterprise của họ có bị phơi nhiễm trên internet hay không và áp dụng các bản cập nhật hoặc biện pháp giảm thiểu cần thiết. Nếu bản vá chưa có sẵn hoặc không thể áp dụng kịp thời, CISA khuyến nghị ngừng sử dụng sản phẩm bị ảnh hưởng cho đến khi nó có thể được bảo mật.
Ngoài ra, CISA đã thúc giục các bên liên quan tuân theo Yêu cầu Sàng lọc Pháp y của họ để phát hiện sự xâm nhập tiềm ẩn. Điều này bao gồm việc xem xét nhật ký, giám sát hoạt động tệp bất thường và xác định các nỗ lực truy cập trái phép vào điểm cuối dịch vụ PostgreSQL.
Kịch bản Tấn công Minh họa
Một kịch bản tấn công mẫu có thể liên quan đến một kẻ tấn công không cần xác thực gửi các yêu cầu được chế tạo đến điểm cuối dễ bị tổn thương để ghi đè các tệp cấu hình hoặc nhật ký quan trọng. Điều này có thể dẫn đến việc tắt cơ chế giám sát bảo mật hoặc cho phép di chuyển ngang sâu hơn trong mạng.
Các tổ chức sử dụng Splunk Enterprise nên coi lỗ hổng CVE-2026-20253 là một ưu tiên hàng đầu. Hành động ngay lập tức, bao gồm vá lỗi, đánh giá mức độ phơi nhiễm và xác thực pháp y, là điều cần thiết để ngăn chặn việc khai thác và giảm thiểu thiệt hại tiềm tàng.
Để có các bản cập nhật tức thì về tin tức bảo mật, hãy theo dõi chúng tôi trên Google News, LinkedIn và X.
Cyber Security News là một Nền tảng Tin tức Chuyên biệt về Tin tức An ninh mạng, Tin tức Tấn công mạng, Tin tức Hacking và Phân tích Lỗ hổng.
© Bản quyền 2026 – Cyber Security News
