L’agence américaine de sécurité des infrastructures, la CISA, a demandé aux administrations fédérales de protéger leurs systèmes avant dimanche. Elles doivent remédier à une faille critique de Splunk Enterprise qui fait l’objet d’exploitations actives.
Cette vulnérabilité, référencée sous le code CVE-2026-20253, concerne les versions de Splunk Enterprise comprises entre 10.2.0 et 10.2.3, ainsi que celles de 10.0.0 à 10.0.6. Elle permet à des attaquants distants, sans privilèges, de créer ou de tronquer des fichiers arbitraires sur les appareils vulnérables. Ils passent par un point de terminaison du service annexe PostgreSQL.
« La vulnérabilité existe car le point de terminaison du service annexe PostgreSQL n’a pas de contrôle d’authentification. Tout utilisateur accessible via le réseau peut donc invoquer des opérations sur les fichiers sans fournir d’identifiants », a expliqué l’équipe de sécurité de Splunk dans un avis publié la semaine dernière.
Le 12 juin, peu après la publication des correctifs par Splunk, le groupe WatchTowr a diffusé une analyse technique et un code d’exploitation fonctionnel. Il a mis en garde contre la possibilité d’utiliser cette faille pour exécuter du code à distance.
Mercredi 18 juin, Splunk a mis à jour son avis de sécurité pour enjoindre ses clients à appliquer les correctifs sans délai. La société a constaté des preuves d’une exploitation en conditions réelles.
« En juin 2026, l’équipe de réponse aux incidents de sécurité produit de Splunk a pris connaissance d’exploitations limitées de cette vulnérabilité. Splunk recommande vivement aux clients de mettre à niveau leur logiciel vers une version corrigée », peut-on lire dans l’avis.
Le groupe de surveillance Shadowserver recense plus de 1400 instances de Splunk exposées sur Internet. La majorité se trouve en Amérique du Nord (952) et en Europe (223). On ignore cependant combien d’entre elles sont vulnérables aux attaques qui ciblent actuellement la faille CVE-2026-20253.
Jeudi, la CISA a confirmé que des acteurs malveillants exploitent désormais activement la vulnérabilité CVE-2026-20253. L’agence a ordonné aux agences du pouvoir exécutif fédéral civil de corriger leurs instances Splunk avant dimanche. Cette directive s’inscrit dans le cadre de l’instruction opérationnelle contraignante BOD 26-04.
Publiée la semaine dernière, cette instruction de la CISA exige que les agences gouvernementales américaines priorisent l’application des correctifs en fonction du risque d’exploitation de chaque vulnérabilité.
« Ce type de vulnérabilité est un vecteur d’attaque courant pour les cybercriminels et il représente un risque majeur pour l’appareil fédéral », a déclaré l’agence hier. « Les parties prenantes doivent évaluer l’exposition à Internet de chaque actif et veiller à respecter les directives de correction de la BOD 26-04. »
Splunk a également partagé des mesures d’atténuation pour les administrateurs qui ne peuvent pas corriger immédiatement leurs systèmes. Elle leur conseille de désactiver le service annexe PostgreSQL pour supprimer la surface d’attaque.
Cependant, l’entreprise a aussi averti que la désactivation de PostgreSQL interromprait les pipelines de données Edge Processor, OpAmp ou SPL2 sur les instances concernées.