Vulnerabilidades críticas en Splunk Enterprise e Universal Forwarder permiten escalada de privilexios en Windows (CVE-2025-20386 e CVE-2025-20387)

splunk
Empresas
Administración Pública
Vulnerabilidades
Nivel de alerta
Alto

Detectáronse dúas vulnerabilidades de alta gravidade en Splunk Enterprise e Splunk Universal Forwarder para sistemas Windows. O erro prodúcese debido a permisos incorrectos nos arquivos e directorios da instalación, xerados durante novas instalacións ou actualizacións de versión.

As vulnerabilidades foron catalogadas como:


Estes fallos permiten que un usuario local sen privilexios acceda a directorios sensibles da instalación, así como aos seus contidos. Isto facilita posibles ataques de escalada de privilexios, poñendo en risco a integridade do sistema e do servizo.

O problema só se manifesta en instalacións novas ou en procesos de actualización recentes sobre sistemas Windows.

Impacto
Un atacante con acceso local podería:

  • Ler ou modificar arquivos e directorios críticos.
  • Alterar configuracións do servizo Splunk.
  • Introducir binarios maliciosos ou manipular procesos de arranque.
  • Escalar privilexios ata obter control completo do sistema afectado.


Este risco é especialmente relevante en contornas onde Splunk se emprega como plataforma SIEM ou de observabilidade, incluíndo administracións públicas, infraestruturas críticas e organizacións con operacións distribuídas.

Sistemas afectados

  • Splunk Enterprise para Windows (instalacións recentes ou actualizadas)
  • Splunk Universal Forwarder para Windows (instalacións recentes ou actualizadas)


As instalacións en sistemas Linux non se ven afectadas.

Medidas de mitigación recomendadas

Splunk publicou actualizacións e instrucións de corrección. Recoméndase:

  1. Aplicar de inmediato os parches oficiais fornecidos por Splunk.
  2. Revisar e corrixir os permisos dos directorios de instalación en Windows (%SPLUNK_HOME%).
  3. Confirmar que os servizos de Splunk se executan con contas de privilexios mínimos, evitando contas excesivamente permisivas.
  4. Revisar os rexistros do sistema en busca de accesos non autorizados a rutas sensibles.
  5. Limitar o acceso local aos servidores que executan Splunk.


Recomendación específica para entidades galegas

Para organismos incluídos no Esquema Nacional de Seguridade (ENS), especialmente categorías Media e Alta, recoméndase:

  • Priorizar a actualización destes sistemas.
  • Verificar a configuración e permisos dos Universal Forwarders distribuídos.
  • Incorporar esta vulnerabilidade no proceso de xestión continua de riscos.