Splunk-Lücke CVE-2026-20253: CISA warnt vor aktiven Angriffen
21.06.2026 - 21:26:38 | boerse-global.de
Die US-Sicherheitsbehörde CISA hat eine dringende Warnung zu einer schwerwiegenden Sicherheitslücke in Splunk Enterprise herausgegeben. Die als CVE-2026-20253 geführte Schwachstelle wird bereits aktiv ausgenutzt – und das mit einem alarmierenden CVSS-Score von 9,8.
Angriff ohne Zugangsdaten möglich
Besonders brisant: Die Lücke erlaubt nicht authentifizierte Remote-Code-Ausführung über den PostgreSQL Sidecar Service. Das Problem liegt in fehlenden Authentifizierungsmechanismen bei bestimmten Service-Endpunkten, die für Backup- und Wiederherstellungsfunktionen zuständig sind. Angreifer können so aus der Ferne Schadcode einschleusen – ohne jemals einen Fuß in die Tür gesetzt zu haben.
Anzeige: Die Splunk-Lücke CVE-2026-20253 wird bereits aktiv ausgenutzt – mit einem CVSS-Score von 9,8. Allein in Europa sind 223 Systeme exponiert. Dieser Report liefert Ihnen die konkrete Sofort-Checkliste für Patching und Sidecar-Deaktivierung. Jetzt kostenlosen Notfall-Report anfordern
Das Splunk Product Security Incident Response Team bestätigte erste Angriffe bereits Anfang Juni. Der Durchbruch kam, nachdem WatchTowr Labs am 12. Juni einen öffentlichen Proof-of-Concept veröffentlicht hatte. Sechs Tage später, am 18. Juni, setzte die CISA die Schwachstelle auf ihre Known Exploited Vulnerabilities (KEV)-Liste – und gab Bundesbehörden bis zum 21. Juni Zeit für die Behebung.
Europa im Visier: 223 betroffene Systeme
Die Angriffsfläche ist beträchtlich. Daten der Shadowserver Foundation zeigen: Über 1.400 Splunk-Instanzen sind weltweit direkt mit dem Internet verbunden. Der Großteil davon – rund 952 – steht in Nordamerika. Doch auch Europa ist mit 223 exponierten Systemen stark betroffen.
Betroffen sind Splunk Enterprise Versionen 10.0.0 bis 10.0.6 sowie 10.2.0 bis 10.2.3. Die Sicherheitsupdates stehen in den Versionen 10.0.7, 10.2.4 und 10.4.0 bereit. Wer nicht sofort patchen kann, sollte als Notlösung den PostgreSQL Sidecar-Dienst deaktivieren – allerdings mit der Einschränkung, dass dann Funktionen wie der Edge Processor und SPL2 ausfallen.
FortiBleed: 86.000 Firewalls kompromittiert
Parallel zur Splunk-Krise sorgt eine massive Kampagne namens "FortiBleed" für Aufsehen. Eine russischsprachige Angreifergruppe hat mit einem 45-GPU-Cluster Passwort-Hashes von Fortinet FortiGate-Firewalls geknackt. Das Ergebnis: rund 86.644 kompromittierte Geräte in 194 Ländern.
Zu den betroffenen Organisationen zählen Schwergewichte wie Siemens, Samsung, Oracle, DHL und mehrere NATO-nahe Rüstungskonzerne. Sicherheitsexperten sehen die Ursache in schwachen Passwort-Hashes, die nach bestimmten Firmware-Upgrades entstanden. Sowohl die CISA als auch das britische NCSC haben am 18. Juni offizielle Warnungen herausgegeben.
Rekord-Monat für Microsoft: 200 Schwachstellen
Der Juni 2026 geht als historischer Monat in die Microsoft-Update-Geschichte ein. Am 10. Juni veröffentlichte der Konzern im Rahmen des Patch Tuesday 200 Schwachstellen – ein Rekordwert. Darunter: sechs Zero-Day-Lücken und 33 kritische Fehler. Besonders im Fokus steht CVE-2026-4341, eine Treiber-Schwachstelle, die bereits aktiv ausgenutzt wird.
Anzeige: Während die CISA eine Frist bis zum 21. Juni setzt, patchen viele Unternehmen noch nicht. Wer den PostgreSQL Sidecar nicht deaktivieren kann, riskiert Edge Processor- und SPL2-Ausfälle. Dieser Leitfaden zeigt, wie Sie die Angriffsfläche minimieren, ohne den Betrieb zu gefährden. Splunk-Angriffsfläche jetzt minimieren
Cisco unter Beschuss
Auch Cisco meldet aktive Angriffe gegen seinen Catalyst SD-WAN Manager. Die Path-Traversal-Lücke CVE-2026-20262 erlaubt authentifizierten Angreifern mit Schreibzugriff, Dateien zu manipulieren und ihre Rechte auf Root-Ebene auszuweiten. Obwohl Cisco die Lücke zunächst intern entdeckte, bestätigte der Konzern inzwischen externe Angriffe. Die CISA setzte den Unternehmen eine Frist bis zum 29. Juni 2026 zur Absicherung.
Weitere kritische Lücken betreffen Ivanti EPMM (CVE-2026-6973) und die Cisco Identity Services Engine (ISE). Bei der ISE erlaubt die RCE-Lücke CVE-2026-20181 Angreifern, Root-Zugriff zu erlangen. Cisco hat zwar Hotfixes über das Technical Assistance Center bereitgestellt, ein permanenter Patch für ISE Version 3.5 wird jedoch erst für August 2026 erwartet.
