تخطى إلى المحتوى الرئيسي
شارك

ثغرة Splunk Enterprise حرجة: تنفيذ تعليمات برمجية دون مصادقة

فريق جلتش15 يونيو0 مشاهدة5 دقائق
شارك
ثغرة Splunk Enterprise حرجة: تنفيذ تعليمات برمجية دون مصادقة

ثغرة حرجة (CVE-2026-20253) في Splunk Enterprise تتيح تنفيذ تعليمات برمجية دون مصادقة وبتقييم 9.8 CVSS. يتوجب التحديث الفوري لحماية الأنظمة من الاستغلال المحتمل.

مقدمة تحليلية

في 13 يونيو 2026، هزّ عالم أمن المعلومات خبرٌ بالغ الأهمية تمثل في كشف Splunk عن ثغرة أمنية حرجة، مُتعقّبة بالرمز CVE-2026-20253، في منتجها الرائد Splunk Enterprise. تُصنّف هذه الثغرة بخطورة 9.8 على نظام تسجيل CVSS، وهي تتيح للمهاجمين غير المصادق عليهم تنفيذ عمليات حساسة على الملفات، بما في ذلك كتابتها أو حذفها، والأسوأ من ذلك، تحقيق تنفيذ تعليمات برمجية عن بعد (Remote Code Execution) دون الحاجة لأي بيانات اعتماد. هذا الاكتشاف يضع الآلاف من الشركات والمؤسسات التي تعتمد على Splunk في خطر مباشر، خاصة وأن تفاصيل الاستغلال التقنية قد أصبحت متاحة للعموم.

تكمن خطورة هذه الثغرة في قدرتها على تجاوز آليات المصادقة الأساسية عبر استغلال ضعف في خدمة PostgreSQL sidecar المدمجة مع Splunk Enterprise. لقد أصدرت Splunk تحديثات عاجلة لمعالجة هذه المشكلة في الإصدارات 10.0.7 و 10.2.4، مؤكدة أن إصدار Splunk Cloud غير متأثر. ومع ذلك، فإن الشركات التي لم تُطبّق هذه التحديثات بعد تواجه نافذة استغلال مفتوحة قد تستهدفها الهجمات الانتهازية، مما يستدعي استجابة سريعة وفورية لحماية أنظمتها الحيوية وبياناتها الحساسة من الاختراق.

التحليل التقني

تُشير التفاصيل التقنية التي كشفت عنها watchTowr Labs إلى أن قلب هذه الثغرة يكمن في نقطتي نهاية خدمتين خاصتين بـ PostgreSQL sidecar، وهما /v1/postgres/recovery/backup و /v1/postgres/recovery/restore. هاتان النقطتان تفتقران بشكل أساسي إلى أي ضوابط للمصادقة، مما يعني أن أي مستخدم يمكنه الوصول إلى الشبكة يمكنه استدعاء عمليات الملفات دون الحاجة إلى تقديم أي بيانات اعتماد. هذه الآلية تفتح الباب أمام سلسلة هجمات معقدة ولكنها فعالة للغاية.

تتضمن سلسلة الهجوم الخطوات التالية التي تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد:

  • يقوم المهاجم بالاتصال بقاعدة بيانات خاضعة لسيطرته ثم يستخدم نقطة النهاية /backup لنسخ محتوياتها إلى ملف عشوائي على نظام ملفات Splunk.
  • يتم بعد ذلك تحميل النسخة الاحتياطية الخبيثة من قاعدة البيانات التي يتحكم فيها المهاجم إلى نسخة PostgreSQL المحلية الخاصة بـSplunk باستخدام نقطة النهاية /restore. خلال هذه العملية، يمكن تضمين وسيط passfile الذي يشير إلى ملف .pgpass يحتوي على كلمة مرور مستخدم postgres_admin.
  • بمجرد تحميل النسخة، يتم تنفيذ استعلامات SQL المحددة داخل النسخة الاحتياطية بواسطة PostgreSQL في Splunk.
  • يستغل المهاجم هذا السلوك لتعريف دالة جديدة (function) تستخدم lo_export – وهي دالة مصممة لاستخراج كائن ثنائي كبير الحجم (BLOB) من قاعدة البيانات وحفظه كملف على نظام الملفات – لكتابة محتوى يتحكم فيه المهاجم إلى ملف على نظام Splunk.
  • أخيراً، يتم تصعيد هذا الاختراق إلى تنفيذ تعليمات برمجية عن بُعد (RCE) عن طريق الكتابة فوق سكربت Python يتم تنفيذه بشكل متكرر بواسطة Splunk، مثل /opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py، وإدراج الحمولة الخبيثة فيه.

هذه السلسلة من الإجراءات تسمح للمهاجم بتحقيق سيطرة كاملة على النظام دون الحاجة إلى أي مصادقة أولية، مما يجعلها خطراً وجودياً للبيئات المتأثرة. الإصدارات المتأثرة من Splunk Enterprise هي:

  • Splunk Enterprise 10.0.0 إلى 10.0.6 - تم إصلاحها في 10.0.7
  • Splunk Enterprise 10.2.0 إلى 10.2.3 - تم إصلاحها في 10.2.4
  • Splunk Enterprise 10.4 - غير متأثر

من الضروري التأكيد على أن Splunk Cloud غير متأثر بهذه الثغرة، وذلك لأن Postgres sidecars لا تُستخدم في هذا المنتج السحابي. هذا يوفر طبقة حماية للمستخدمين السحابيين ولكنه يزيد من الضغط على مستخدمي النسخ المحلية (on-premise) للتحديث الفوري.

السياق وتأثير السوق

تُعد Splunk Enterprise منصة حيوية للعديد من الشركات الكبرى حول العالم، حيث تُستخدم في جمع وتحليل البيانات الأمنية والتشغيلية، وإدارة الأحداث والمعلومات الأمنية (SIEM)، والاستخبارات التشغيلية. هذا الدور المحوري يجعل أي ثغرة أمنية حرجة فيها تهديداً مباشراً لاستمرارية الأعمال وسلامة البيانات. إن إمكانية تنفيذ تعليمات برمجية عن بُعد دون مصادقة هي من أخطر أنواع الثغرات، حيث تمنح المهاجمين قدرة كاملة على السيطرة على النظام المستهدف دون الحاجة لتفاعل المستخدم أو امتلاك أي صلاحيات مسبقة.

في سياق سوق الأمن السيبراني الأوسع، تُعيد هذه الثغرة إلى الأذهان المخاطر المتزايدة المرتبطة بالمكونات الخارجية (third-party components) والتبعيات في حزم البرامج المعقدة. فكما شهدنا في حوادث سابقة مثل Log4Shell أو اختراقات SolarWinds، يمكن لثغرة واحدة في جزء أساسي من البنية التحتية أن تؤدي إلى تأثيرات كارثية عبر سلسلة التوريد (supply chain) بأكملها. يُسلّط هذا الضوء على الحاجة الملحة للتحقق الدقيق من الأمان في كل طبقات البرمجيات، بما في ذلك الخدمات المساعدة (sidecar services) وقواعد البيانات المضمنة.

تداعيات السوق فورية وواسعة. ستُضطر الشركات إلى تخصيص موارد كبيرة لتطبيق التحديثات بسرعة، وفي بعض الحالات، قد تتطلب عملية التحديث تخطيطاً دقيقاً لتجنب تعطيل الخدمات الحيوية. هذا قد يؤدي إلى زيادة الطلب على خدمات الاستجابة للحوادث (incident response) والاستشارات الأمنية، مع تزايد الضغط على فرق الأمن لضمان الامتثال للمعايير التنظيمية وحماية البيانات الحساسة. كما أن هذه الحادثة قد تدفع العديد من الشركات إلى إعادة تقييم استراتيجياتها في إدارة الثغرات ومخاطر الموردين، والتركيز بشكل أكبر على مسح واعتماد المكونات مفتوحة المصدر.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُعد ثغرة CVE-2026-20253 تذكيراً صارخاً بأن أكثر الأدوات تعقيداً وأهمية في مجال الأمن السيبراني يمكن أن تحمل نقاط ضعف جوهرية. إن الفشل في تطبيق ضوابط مصادقة أساسية على خدمة PostgreSQL sidecar، وهي جزء لا يتجزأ من بيئة Splunk Enterprise، يُعتبر إهمالاً أمنياً خطيراً يستوجب مراجعة معمقة لعمليات تطوير البرمجيات واختبار الأمان، خاصة في الأنظمة التي تتعامل مع بيانات حساسة للغاية.

تتركز مخاوفنا الأمنية حول التداعيات المحتملة لهذه الثغرة. ففي سيناريو الاستغلال الناجح، لا يقتصر الأمر على مجرد تنفيذ تعليمات برمجية، بل يمكن للمهاجمين تزوير سجلات الأمن، أو تعطيل أنظمة المراقبة، أو سرقة بيانات حساسة، أو حتى استخدام خادم Splunk كنقطة انطلاق لشن هجمات أوسع داخل الشبكة. هذا يهدد نزاهة وفعالية نظام SIEM بأكمله، والذي يُفترض أن يكون خط الدفاع الأول للشركات ضد التهديدات السيبرانية.

على الرغم من توفر التحديثات، فإن التحدي الحقيقي يكمن في سرعة تطبيقها. غالباً ما تواجه المؤسسات الكبيرة صعوبات لوجستية وتشغيلية في نشر التحديثات على نطاق واسع، مما يخلق فترة زمنية حرجة يمكن للمهاجمين استغلالها. إن الكشف العام عن تفاصيل الاستغلال يزيد من هذا الخطر بشكل كبير، حيث يقلل من حاجز الدخول للمهاجمين الأقل مهارة ويزيد من احتمالية الهجمات الانتهازية واسعة النطاق.

نتوقع زيادة ملحوظة في عمليات المسح النشطة (opportunistic scanning) ومحاولات الاستغلال المستهدفة ضد خوادم Splunk Enterprise غير المحدثة في الأسابيع القادمة. لذا، لا يكفي مجرد تطبيق التحديثات الحالية، بل يجب على المؤسسات اعتماد نهج أمني أكثر استباقية، يتضمن مراجعات أمنية دورية وشاملة لجميع المكونات المدمجة في برمجياتها، وتقييم مستمر للمخاطر، وتدريب الفرق على الاستجابة السريعة لمثل هذه التهديدات الحرجة لضمان بقاء دفاعاتها قوية وفعالة ضد مشهد التهديدات المتطور باستمرار.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.