CISA, Splunk Enterprise 취약점 적극 악용…주말까지 패치 권고
미국 사이버보안 및 인프라 보안청(CISA)은 연방 기관들이 일요일까지 Splunk Enterprise의 치명적인 취약점(공격에 활용되고 있는)을 해결하도록 촉구했습니다.
이 취약점은 CVE-2026-20253(CVE-2026-20253)로 추적되며, Splunk Enterprise(버전 10.2.010.2.3 및 10.0.010.0.6)에 영향을 미치고, 원격 공격자가 특권 없이 PostgreSQL 사이드카 서비스 엔드포인트를 통해 취약한 장치에서 임의 파일 생성 또는 절단할 수 있게 합니다.
“이 취약점은 PostgreSQL 사이드카 서비스 엔드포인트에 인증 메커니즘이 없어 네트워크에 연결된 모든 사용자가 인증 없이 파일 작업을 수행할 수 있게 허용하기 때문에 발생했습니다,” Splunk 보안 팀이 보안 공지에서 밝혔습니다.
6월 12일, Splunk이 보안 패치를 배포한 지 이틀 만에 WatchTowr는 기술적 분석 글을 발표하고, 증명-개념(PoC) 해킹 코드를 공유하며, 이 취약점이 원격 코드 실행 공격에 악용될 수 있음을 경고했습니다.
6월 18일(수요일), Splunk은 실제 공격 사례가 확인된 점을 근거로 고객에게 시스템을 즉시 패치할 것을 촉구하며 보안 공지를 업데이트했습니다.
“2026년 6월, Splunk 제품 보안 사고 대응 팀(PSIRT)은 이 취약점 제한적 활용 사례를 인지했습니다. Splunk은 고객이 이 취약점을 완화하기 위해 최신 고정 소프트웨어 릴리스로 업그레이드할 것을 강력히 권고합니다,“라고 덧붙였습니다.
인터넷 보안 감시단체 Shadowserver는 1,400개 이상의 인터넷에 노출된 Splunk 인스턴스를 추적하고 있으며, 그 중 대부분이 북미(952)와 유럽(223)에서 비롯되었습니다. 다만, CVE-2026-20253 취약점 대상으로 진행 중인 공격에 노출된 인스턴스 수에 대한 정보는 없습니다.
목요일, CISA는 threat actors가 이미 CVE-2026-20253 취약점을 악용하고 있음을 확인했으며, 연방 민간 행정부(FCEB) 기관들에게 BOD(26-04) 지침에 따라 일요일까지 Splunk 인스턴스를 패치하도록 명령했습니다.
지난 주에 발행됨, CISA의 BOD 26-04는 각 취약점의 악용 위험을 기준으로 정부 기관들이 패치 우선순위를 결정하도록 요구합니다.
“이 유형의 취약점은 악성 사이버 공격의 빈번한 경로이며 연방 기업에 중대한 위험을 초래합니다,” 사이버보안 기관은昨日 말했습니다. “관계자는 각 자산의 인터넷 노출 상황을 평가하고 BOD 26-04 패치 가이드라인을 준수하도록 책임이 있습니다.”
Splunk은 즉시 취약한 시스템을 패치할 수 없는 관리자들을 위해 PostgreSQL 사이드카 서비스를 비활성화해 공격 표면을 제거하라는 완화 조치를 공유했습니다.
다만 Splunk은 PostgreSQL을 비활성화하면 Edge Processor, OpAmp, 또는 SPL2 데이터 파이프라인이 손상된 인스턴스에서 작동에 차질이 생길 수 있음을 경고했습니다.
보안 팀은 성공적인 공격의 54%를 로깅하고, 단 14%만 알림으로 보고합니다. 나머지는 환경 내에서 눈에 띄지 않고 진행합니다.
Picus 화이트페이퍼는 보안 침해 및 공격 시뮬레이션 테스트가 SIEM과 EDR 규칙을 검증하여 위협이 탐지되지 않도록 방지한다는 내용을 보여줍니다.