ثغرة خطيرة في سبلانك إنتربرايز تسمح باختراق الأنظمة

كشفت سبلانك عن ثغرة أمنية حرجة في سبلانك إنتربرايز تسمح للمهاجمين بتنفيذ تعليمات برمجية دون مصادقة، مما يهدد سلامة البيانات والأنظمة، حسب تيكبامين.

أصدرت شركة سبلانك (Splunk)، التابعة لشركة سيسكو، تحديثات أمنية طارئة لمعالجة خلل أمني جسيم في نظام Splunk Enterprise. هذه الثغرة قد تسمح للمهاجمين غير المصرح لهم بإجراء عمليات غير قانونية على الملفات، وصولاً إلى تنفيذ تعليمات برمجية كاملة عن بُعد (Remote Code Execution).

تم تتبع هذه الثغرة تحت الرمز CVE-2026-20253، وقد منحتها أنظمة التقييم العالمية (CVSS) درجة خطورة بلغت 9.8 من أصل 10، وهو ما يصنفها كواحدة من أخطر الثغرات الأمنية التي قد تواجهها الشركات التي تعتمد على منصات تحليل البيانات.

ما هي تفاصيل ثغرة CVE-2026-20253 في سبلانك؟

وفقاً للتقرير الفني، تكمن المشكلة في نقطة نهاية خدمة PostgreSQL الجانبية (sidecar service endpoint) داخل النظام. تفتقر هذه النقطة إلى ضوابط المصادقة الصارمة، مما يفتح الباب أمام أي مستخدم يمكنه الوصول إلى الشبكة لاستدعاء عمليات الملفات دون الحاجة إلى كلمات مرور أو بيانات اعتماد.

أوضحت الشركة أن المستخدم غير المصرح له يمكنه إنشاء ملفات عشوائية أو حذف محتوياتها بالكامل، مما قد يؤدي إلى تعطيل الخدمات الحساسة أو التلاعب بسجلات البيانات الضخمة التي تعالجها المنصة بشكل دوري.

كيف يتم استغلال هذه الثغرة الأمنية تقنياً؟

قام باحثون أمنيون بنشر تفاصيل تقنية إضافية حول كيفية تحويل هذا الخلل إلى اختراق كامل. يمكن للمهاجم استغلال نقاط النهاية الخاصة بعمليات النسخ الاحتياطي والاستعادة مثل "/v1/postgres/recovery/backup" لتحقيق أهدافه الخبيثة، كما ذكر تيكبامين.

سلسلة خطوات الهجوم المتوقعة:

• الوصول إلى نقاط نهاية الخدمة الجانبية لـ PostgreSQL دون مصادقة.
• استخدام وظيفة lo_export لانتزاع كائنات كبيرة (BLOB) من قاعدة البيانات وحفظها كملفات على النظام.
• كتابة محتوى خبيث داخل ملفات النظام التي يتحكم فيها المهاجم.
• استبدال نصوص برمجية بلغة بايثون (Python) يتم تنفيذها تلقائياً بواسطة سبلانك.

بمجرد كتابة الملفات الخبيثة، يمكن للمهاجم تصعيد الهجوم عبر استبدال ملفات حيوية مثل ssg_enable_modular_input.py الموجود في مسار تطبيقات سبلانك الآمنة، مما يمنحه سيطرة كاملة على النظام بمجرد تشغيل سبلانك لهذا النص البرمجي.

ما هي الإصدارات المتأثرة وكيف تحمي مؤسستك؟

تؤثر هذه الثغرة الحرجة على مجموعة محددة من إصدارات Splunk Enterprise، وهي كالتالي:

• إصدارات Splunk Enterprise الأقل من 10.2.4.
• إصدارات Splunk Enterprise الأقل من 10.0.7.

من الجدير بالذكر أن خدمات سبلانك السحابية (Splunk Cloud) لم تتأثر بهذا الخلل الأمني، حيث أن المنتج السحابي لا يستخدم خدمات Postgres الجانبية التي تحتوي على هذه الثغرة، وهو ما يوفر راحة لمستخدمي السحابة.

نصائح تيكبامين لتأمين الأنظمة

على الرغم من عدم رصد أي استغلال فعلي لهذه الثغرة في الهجمات الحية حتى الآن، إلا أن نشر التفاصيل التقنية للعلن يزيد من احتمالية قيام قراصنة الإنترنت بمحاولات اختراق انتهازية. لذلك، من الضروري جداً البدء فوراً في تحديث الأنظمة المتأثرة.

يجب على مسؤولي تكنولوجيا المعلومات التأكد من تثبيت الإصدارات الآمنة التي أطلقتها الشركة مؤخراً، وتعزيز جدران الحماية لمراقبة أي وصول غير مصرح به لنقاط النهاية الحساسة. حماية البيانات تبدأ دائماً بالوعي بالثغرات وسرعة الاستجابة لها لضمان استمرارية الأعمال بأمان.