概要

Splunk Enterprise for Windowsにおいて、低特権ユーザーがDLLローディングをハジャキングし、SYSTEMレベルへのアクセスを上げることが可能な深刻な脆弱性が発見されました。この脆弱性はCVE-2026-20140としてトラッキングされており、CVSSv3.1スコアは7.7（高）です。

詳細

Splunkは2月18日、このローカル特権昇格(LPE)脆弱性について警告しました。これはDLL検索順序ハジャキングによるもので、Windowsがライブラリを現在のディレクトリから優先的にロードする方法を利用しています。

影響範囲

この脆弱性は以下のバージョンに影響を与えます：

• Splunk Enterprise 10.2: 不影響（10.2.0以降）
• Splunk Enterprise 10.0: 10.0.0から10.0.2まで（10.0.3以降）
• Splunk Enterprise 9.4: 9.4.0から9.4.7まで（9.4.8以降）
• Splunk Enterprise 9.3: 9.3.0から9.3.8まで（9.3.9以降）
• Splunk Enterprise 9.2: 9.2.0から9.2.11まで（9.2.12以降）

脆弱性の利用方法

低特権ユーザーは、システムドライブにSplunkがインストールされているディレクトリで悪意のあるDLLを配置することでこの脆弱性を利用できます。Splunkサービスが再起動すると、不正なDLLが正当なDLLよりも優先的にロードされ、コードがSYSTEM特権を得ます。

影響

この脆弱性は、データの窃取やマルウェアの持続化、企業ネットワークでの横展開を可能にします。CVSSベクタ（CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H）は、攻撃の範囲が低いものの、高特権を持つことで機密性、完全性、可用性への影響が高いことを示しています。

対策

Splunkはアップデートを推奨しており、10.2.0、10.0.3、9.4.8、9.3.9、9.2.12、またはそれ以降のバージョンに更新することが重要です。非Windowsデプロイメントではリスクがありません。

まとめ

現時点でアクティブな攻撃は確認されていませんが、高スコアから緊急性を考慮する必要があります。迅速に対策を行うことで、脅威アクターによる実世界での悪用を防ぐことができます。

---

元記事: https://gbhackers.com/splunk-enterprise-windows-dll-hijacking-system/