CISA: Celah Keamanan Splunk Enterprise Aktif Dieksploitasi, Wajib Patch Sebelum Hari Minggu
Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) telah mengeluarkan instruksi mendesak kepada seluruh lembaga federal untuk segera mengamankan sistem mereka dari celah keamanan kritis pada platform Splunk Enterprise. Instruksi ini diterbitkan menyusul adanya laporan bahwa kerentanan tersebut kini tengah aktif disalahgunakan oleh para aktor fiktif dalam berbagai serangan siber di lapangan.
Kerentanan kritis yang diidentifikasi sebagai CVE-2026-20253 ini berdampak pada software Splunk Enterprise, khususnya untuk versi 10.2.0 hingga 10.2.3 serta versi 10.0.0 hingga 10.0.6. Celah keamanan ini memungkinkan penyerang jarak jauh (remote attacker) tanpa hak akses khusus (unprivileged) untuk membuat atau menghapus sebagian isi file secara acak pada perangkat yang rentan melalui titik akhir atau endpoint dari PostgreSQL sidecar service.
Berdasarkan dokumen penasihat keamanan yang dirilis oleh tim keamanan Splunk, kerentanan ini terjadi karena sisi endpoint layanan PostgreSQL sidecar tersebut tidak memiliki kontrol otentikasi yang memadai. Kondisi ini membuka celah bagi siapapun pengguna yang terhubung ke jaringan untuk memicu operasi manipulasi file tanpa perlu memasukkan kredensial login sama sekali.
Beberapa hari setelah Splunk merilis pembaruan keamanan resmi, firma riset keamanan WatchTowr menerbitkan analisis teknis mendalam yang disertai dengan perilisan kode bukti konsep serangan (proof-of-concept exploit). Laporan tersebut memberikan peringatan keras bahwa celah keamanan ini dapat dimanfaatkan lebih jauh untuk melancarkan serangan eksekusi kode jarak jauh (remote code execution) yang berbahaya bagi integritas server.
Merespons perkembangan situasi yang semakin genting, Splunk memperbarui status penasihat keamanan mereka dan mendesak para pelanggan untuk melakukan pembaruan patch sesegera mungkin. Langkah ini diambil setelah Splunk Product Security Incident Response Team (PSIRT) mengonfirmasi adanya temuan aktivitas eksploitasi nyata berskala terbatas di ekosistem internet. Pihak pabrikan sangat merekomendasikan pengguna untuk melakukan upgrade ke versi software terbaru yang telah diperbaiki guna menutup celah bahaya tersebut.
Lembaga pengawas keamanan internet global, Shadowserver, mencatat ada lebih dari 1.400 instans sistem Splunk yang saat ini terekspos langsung ke jaringan internet publik. Mayoritas dari sistem yang terekspos tersebut berada di wilayah Amerika Utara sebanyak 952 unit dan wilayah Eropa sebanyak 223 unit. Meskipun demikian, belum ada data pasti mengenai berapa banyak dari total instans tersebut yang berada dalam kondisi rentan dan belum mengaplikasikan patch terhadap ancaman CVE-2026-20253.
Melihat tingginya risiko yang ditimbulkan, CISA mengonfirmasi status eksploitasi aktif tersebut dan memerintahkan seluruh lembaga Federal Civilian Executive Branch (FCEB) untuk merampungkan proses patching pada sistem Splunk mereka sebelum hari Minggu. Kewajiban ini didasarkan pada mandat Binding Operational Directive (BOD) 26-04 yang mengharuskan lembaga pemerintah Amerika Serikat memprioritaskan perbaikan sistem berdasarkan tingkat risiko eksploitasi riil dari suatu celah keamanan.
Pihak otoritas siber menyatakan bahwa jenis kerentanan seperti ini merupakan jalur serangan yang sangat sering dimanfaatkan oleh para aktor siber berbahaya serta menimbulkan risiko operasional yang sangat signifikan bagi infrastruktur enterprise. Oleh karena itu, para pengelola aset bertanggung jawab penuh untuk mengevaluasi tingkat ekspos internet pada masing-masing perangkat dan memastikan kepatuhan terhadap tenggat waktu yang telah ditentukan.
Bagi para administrator jaringan yang belum dapat melakukan pembaruan patch dalam waktu dekat, Splunk membagikan langkah mitigasi darurat untuk memperkecil celah serangan. Caranya adalah dengan menonaktifkan layanan PostgreSQL sidecar pada sistem. Namun, pihak pengembang juga memberikan catatan peringatan bahwa tindakan penonaktifan ini akan berdampak pada tidak berfungsinya jalur pipa data (data pipelines) untuk fitur Edge Processor, OpAmp, maupun SPL2 pada instans yang terdampak.
