Vulnerabilidades críticas en Splunk Enterprise y Universal Forwarder permiten escalado de privilegios en Windows (CVE-2025-20386 y CVE-2025-20387)

splunk
Empresas
Administración pública
Vulnerabilidades
Nivel de alerta
Alto

Se han identificado dos vulnerabilidades de alta severidad en Splunk Enterprise y Splunk Universal Forwarder para sistemas Windows. Los fallos se deben a permisos de archivo incorrectos aplicados durante instalaciones nuevas o actualizaciones de versión.

Los identificadores asignados son:


Estas vulnerabilidades permiten que un usuario local sin privilegios acceda a directorios sensibles asociados a la instalación del producto y a sus contenidos. Este acceso indebido puede abrir la puerta a ataques de escalado de privilegios, comprometiendo la integridad del sistema y del servicio.

Según Splunk, el problema aparece únicamente en instalaciones nuevas o procesos de actualización recientes sobre sistemas Windows.

Impacto
Un atacante con acceso local podría:

  • Leer o modificar archivos y directorios críticos.
  • Alterar configuraciones del servicio Splunk.
  • Introducir binarios maliciosos o manipular procesos de arranque.
  • Escalar privilegios hasta obtener control completo del sistema afectado.


Esto supone un riesgo significativo para entornos donde Splunk procesa o centraliza registros críticos de seguridad, especialmente en administraciones públicas, infraestructuras críticas y empresas con operaciones distribuidas.

Sistemas afectados

  • Splunk Enterprise para Windows (instalaciones recientes o actualizadas)
  • Splunk Universal Forwarder para Windows (instalaciones recientes o actualizadas)


Las instalaciones en sistemas Linux no se ven afectadas.

Medidas de mitigación recomendadas

Splunk ha publicado directrices y parches. Se recomienda a los administradores:

  1. Aplicar cuanto antes las actualizaciones proporcionadas por Splunk para ambos productos.
  2. Revisar los permisos de los directorios de instalación en Windows  (%SPLUNK_HOME%).
  3. Comprobar que los servicios de Splunk se ejecutan con cuentas con privilegios mínimos necesarios, evitando cuentas excesivamente permisivas.
  4. Revisar los logs del sistema en busca de accesos no autorizados a rutas sensibles.
  5. Restringir el acceso local a los servidores que alojan Splunk.


Recomendación para entidades públicas y organizaciones gallegas

Dado el papel de Splunk en la monitorización de seguridad (SIEM) y la observabilidad, se recomienda:

  • Priorizar esta actualización dentro de los sistemas incluidos en ENS, especialmente en categorías Media y Alta.
  • Verificar que no existan agentes Universal Forwarder expuestos a usuarios con permisos locales amplios.
  • Incluir esta vulnerabilidad en los procesos de gestión de riesgos y revisión continua.