Hard2bit
← Volver al blog

El SIEM como puerta de entrada: CVE-2026-20253 en Splunk, explotado y en el catálogo KEV de CISA

Por Adrián González · CEO · Publicado: 24 de junio de 2026 · Actualizado: 24 de junio de 2026
Ciberamenazas
CVE Siem Splunk

Un SIEM es, por definición, el lugar al que una organización mira cuando sospecha que algo va mal. Centraliza registros, correlaciona eventos, sostiene buena parte de la detección y, en muchos casos, es la fuente de verdad para investigar una intrusión.

Por eso CVE-2026-20253, una vulnerabilidad crítica en Splunk Enterprise, resulta especialmente incómoda: afecta a una plataforma que muchas empresas usan precisamente para detectar ataques.

La vulnerabilidad tiene una puntuación CVSS 9.8, afecta a determinadas versiones de Splunk Enterprise 10.x y fue añadida por CISA a su catálogo de vulnerabilidades explotadas conocidas, el Known Exploited Vulnerabilities Catalog (KEV), el 18 de junio de 2026. Splunk también ha confirmado explotación limitada en activo durante junio de 2026.

La lectura ejecutiva es sencilla: si una organización usa versiones afectadas de Splunk Enterprise y el servicio vulnerable es alcanzable por red, debe actuar con urgencia. No solo porque la vulnerabilidad sea crítica, sino porque comprometer la plataforma de detección puede afectar a la capacidad de la organización para ver, investigar y responder al propio incidente.

Resumen ejecutivo: qué hacer si usas Splunk Enterprise

Si tienes Splunk Enterprise, revisa de inmediato si estás en una versión afectada:

  • Splunk Enterprise 10.0.0 a 10.0.6.
  • Splunk Enterprise 10.2.0 a 10.2.3.

Las versiones corregidas son:

  • 10.0.7.
  • 10.2.4.
  • 10.4.0 o superior.

Según el advisory oficial de Splunk, Splunk Cloud Platform no está afectado, porque no utiliza PostgreSQL sidecars. Splunk también aclara que Splunk Enterprise 9.4 y versiones anteriores no están afectadas.

La prioridad es clara:

  1. Actualizar a una versión corregida.
  2. Si no se puede parchear de inmediato, valorar la mitigación temporal recomendada por Splunk: desactivar el servicio PostgreSQL sidecar, teniendo en cuenta el posible impacto funcional.
  3. Restringir la exposición de red del servicio.
  4. Revisar integridad de scripts, aplicaciones y configuraciones.
  5. Buscar indicios de explotación.
  6. Rotar credenciales si el sistema pudo haber estado expuesto.
  7. Tratar cualquier indicio como un posible incidente, no como una simple tarea de parcheo.

Este caso encaja de lleno en una práctica que ya debería estar madura en cualquier organización: gestión de vulnerabilidades⁠ basada en riesgo real, explotabilidad y criticidad del activo.

Qué es exactamente CVE-2026-20253

CVE-2026-20253 es una vulnerabilidad de falta de autenticación en una función crítica —CWE-306— que afecta a un endpoint del servicio PostgreSQL sidecar de Splunk Enterprise.

La descripción oficial es importante: un atacante remoto no autenticado con acceso de red al servicio vulnerable podría realizar operaciones de creación o truncado arbitrario de archivos en el servidor Splunk.

Dicho de forma más clara: no hablamos únicamente de un error menor de configuración. Hablamos de una función crítica expuesta sin la autenticación necesaria. En determinadas condiciones, y como han demostrado análisis técnicos publicados, esa capacidad puede encadenarse hasta conseguir ejecución remota de código sobre el sistema.

La diferencia no es semántica. Es defensiva.

Si se presenta solo como “RCE”, puede parecer un exploit más. Si se entiende como “una plataforma de seguridad que permite escritura o truncado arbitrario de archivos sin autenticación en un componente crítico”, queda más claro por qué el impacto puede ser tan grave.

Versiones afectadas y versiones corregidas

Según el advisory de Splunk, las versiones afectadas son:

Versiones afectadas Splunk CVE

Puntos importantes:

  • Splunk Cloud Platform no está afectado.
  • Splunk Enterprise 9.4 y anteriores no están afectados.
  • Splunk recomienda actualizar a una versión corregida.
  • Si no se puede actualizar de inmediato, Splunk documenta como mitigación desactivar el servicio PostgreSQL sidecar, siempre valorando el impacto sobre funcionalidades que dependan de él.

La inclusión en el KEV de CISA cambia la prioridad: ya no es una vulnerabilidad “importante para revisar”, sino una vulnerabilidad con evidencia de explotación que debe entrar al principio de la cola de remediación. Este es exactamente el enfoque que explicamos en nuestro análisis sobre KEV, EPSS y SSVC para priorizar vulnerabilidades explotables⁠.

Anatomía del ataque: de un endpoint sin autenticación a compromiso de la plataforma

La cadena de explotación no necesita partir de credenciales válidas. El requisito principal es que el servicio vulnerable sea alcanzable por red.

A alto nivel, el ataque se apoya en tres ideas:

Primero, existe un endpoint del servicio PostgreSQL sidecar que no aplica correctamente autenticación para una función crítica.

Segundo, esa función permite operaciones sobre archivos en el sistema, como creación o truncado.

Tercero, si el atacante consigue escribir o modificar ubicaciones relevantes dentro del entorno Splunk, puede manipular el comportamiento de la plataforma y, en ciertas condiciones, alcanzar ejecución de código con los permisos del servicio.

No hace falta convertir este artículo en una guía de explotación. Lo relevante para una empresa es entender el impacto: el atacante puede pasar de una función expuesta sin autenticación a manipular archivos en una herramienta central de seguridad.

Y eso cambia la gravedad del incidente.

No estamos hablando de un servidor aislado. Estamos hablando del sistema que muchas organizaciones usan para recibir logs de firewalls, endpoints, servidores, aplicaciones, identidades y servicios cloud.

Por qué esto es peor que una vulnerabilidad cualquiera

Un fallo crítico en un servidor web expuesto ya es grave. Un fallo crítico en un SIEM lo es de otra forma.

Un SIEM suele reunir tres características que lo convierten en un activo de altísimo valor:

  • Tiene visibilidad sobre buena parte de la organización.
  • Procesa registros sensibles, eventos de seguridad, tokens, rutas internas, nombres de usuario, direcciones IP y, en algunos casos, secretos expuestos accidentalmente en logs.
  • Sostiene reglas de correlación, alertas, paneles, integraciones y procesos de investigación.

Si un atacante compromete esa pieza, el impacto puede ir más allá del propio servidor.

Puede intentar acceder a información sensible presente en eventos. Puede estudiar cómo detecta la organización. Puede modificar scripts, aplicaciones o reglas. Puede alterar la visibilidad de los equipos de seguridad. Y puede usar la plataforma como punto de apoyo para entender mejor la red interna.

La ironía es evidente: la herramienta diseñada para ayudar a detectar una intrusión puede convertirse en parte de la intrusión.

Esto no significa que Splunk deje de ser una herramienta válida. Significa que cualquier plataforma crítica de seguridad debe tratarse como un activo de alto riesgo, con la misma disciplina de hardening, segmentación, parcheo, monitorización y respuesta que un controlador de dominio, una VPN o una consola EDR.

La seguridad también es superficie de ataque

Este caso encaja en una tendencia que lleva tiempo consolidándose: los atacantes no solo buscan servidores de negocio. También buscan dispositivos de borde, herramientas de gestión y plataformas de seguridad.

A medida que la defensa del puesto de trabajo ha madurado con EDR, MFA, control de aplicaciones y detección avanzada, muchos grupos han desplazado parte de su interés hacia activos que combinan alto valor y exposición operativa: VPN, firewalls, consolas de administración, plataformas de monitorización, herramientas de despliegue y SIEM.

La lección es incómoda, pero necesaria: el propio arsenal defensivo forma parte de la superficie de ataque⁠.

Una empresa no debería preguntarse solo si tiene SIEM, EDR, NDR o SOAR. También debería preguntarse:

  • ¿Están actualizados?
  • ¿Están expuestos a redes que no deberían?
  • ¿Tienen MFA y control de acceso robusto?
  • ¿Se monitoriza su integridad?
  • ¿Se registran sus cambios?
  • ¿Alguien revisa conexiones salientes desde esas plataformas?
  • ¿Existe una vía alternativa de visibilidad si la herramienta principal se ve comprometida?

Este enfoque forma parte de una estrategia de gestión continua de exposición o CTEM⁠: no limitarse a inventariar vulnerabilidades, sino entender qué activos expuestos son explotables, críticos y prioritarios.

Detección: qué buscar ya

Si tienes Splunk Enterprise en una versión afectada y no puedes descartar exposición, conviene cazar antes de asumir que estás limpio.

Las siguientes señales deben revisarse con especial atención:

Signal CVE Splunk

La detección no debe limitarse a buscar un único indicador. Un atacante real puede modificar rutas, nombres de archivo y artefactos. Lo importante es revisar comportamiento: accesos al servicio vulnerable, escrituras inesperadas, modificaciones de scripts, ejecución de procesos y conexiones salientes.

Este tipo de caza proactiva es justo el terreno natural de un servicio de threat hunting⁠. No se trata de esperar a que salte una alerta genérica, sino de buscar evidencias concretas de una técnica conocida sobre la telemetría disponible.

Contención y remediación

La prioridad es actualizar. En este caso no hay una medida más importante.

1. Actualizar a una versión corregida

Actualiza Splunk Enterprise a:

  • 10.0.7.
  • 10.2.4.
  • 10.4.0 o superior.

La actualización debe tratarse como urgente si el sistema está en una versión afectada y el servicio vulnerable es alcanzable por red.

2. Aplicar mitigación temporal si no puedes parchear de inmediato

Si no puedes actualizar en el momento, Splunk documenta como mitigación la desactivación del servicio PostgreSQL sidecar. Esta medida debe valorarse con cuidado porque puede afectar a funcionalidades que dependan de ese componente.

La mitigación no sustituye al parche. Solo reduce exposición mientras se completa la actualización.

3. Restringir la exposición de red

El servicio no debería ser accesible desde Internet ni desde redes innecesarias.

Revisa:

  • Segmentación del plano de gestión.
  • Reglas de firewall.
  • Acceso desde redes de usuario.
  • Acceso desde proveedores, VPN o saltos administrativos.
  • Exposición accidental en cloud o entornos híbridos.

Una buena auditoría de infraestructura y red⁠ ayuda a detectar precisamente este tipo de superficies expuestas.

4. Validar integridad de la plataforma

Después de parchear, revisa que la plataforma no haya sido manipulada.

Comprueba:

  • Apps instaladas.
  • Scripts internos y personalizados.
  • Saved searches.
  • Alertas.
  • Inputs.
  • Outputs.
  • Integraciones.
  • Credenciales o tokens configurados.
  • Cambios recientes en ficheros críticos.

Si el atacante tuvo capacidad de escribir o truncar archivos, no basta con actualizar. Hay que comprobar que no haya dejado modificaciones persistentes.

5. Rotar secretos y credenciales

Si el sistema estuvo expuesto, trata cualquier secreto accesible desde Splunk como potencialmente comprometido.

Esto puede incluir:

  • Tokens de integración.
  • Credenciales de APIs.
  • Cuentas de servicio.
  • Credenciales almacenadas en scripts.
  • Secretos expuestos accidentalmente en logs.
  • Credenciales de administración usadas en la plataforma.

La rotación de credenciales debe coordinarse con equipos de sistemas, cloud, seguridad e identidad.

6. Activar respuesta a incidentes si hay indicios

Si aparecen evidencias de explotación, la respuesta deja de ser “parchear Splunk” y pasa a ser “gestionar un incidente”.

Eso implica:

  • Contención.
  • Preservación de evidencias.
  • Análisis forense.
  • Revisión de integridad.
  • Búsqueda de persistencia.
  • Revisión de accesos posteriores.
  • Rotación de credenciales.
  • Comunicación interna.
  • Documentación de impacto.
  • Lecciones aprendidas.

Un servicio de respuesta a incidentes⁠ o un retainer de respuesta a incidentes⁠ puede marcar la diferencia entre una corrección rápida y una brecha prolongada.

Qué cambia para SOC, SIEM y detección gestionada

CVE-2026-20253 obliga a aceptar una idea incómoda: también hay que monitorizar el sistema que monitoriza.

Un SIEM⁠ no puede quedar fuera del modelo de detección solo porque sea la herramienta de detección. Al contrario: cuanto más crítico es para la visibilidad de la organización, más importante es vigilar su integridad.

En la práctica, un SOC debería monitorizar:

  • Accesos administrativos a la plataforma.
  • Cambios en reglas, alertas, paneles y saved searches.
  • Instalación o modificación de apps.
  • Ejecución de scripts.
  • Cambios de configuración.
  • Conexiones salientes desde el servidor SIEM.
  • Creación o modificación de usuarios.
  • Cambios en integraciones.
  • Uso de credenciales o tokens.
  • Estado de los componentes críticos del servicio.

Un SOC gestionado⁠ debe ser capaz de correlacionar esta telemetría con inteligencia de amenazas, gestión de vulnerabilidades y exposición real. No basta con saber que existe una CVE. Hay que saber si el activo existe, si está expuesto, si está en versión vulnerable, si hay PoC pública, si está en KEV y si hay señales de explotación.

Este caso también refuerza el valor de modelos de MDR, EDR y XDR⁠: la detección no debe depender de una única fuente, especialmente si esa fuente puede ser objetivo del atacante.

Relación con Active Directory, identidad y movimiento lateral

Aunque CVE-2026-20253 afecta a Splunk, el impacto potencial no termina en Splunk.

Muchas intrusiones modernas tienen un patrón repetido: comprometer un activo inicial, buscar credenciales, entender la red, llegar a identidad y moverse hacia sistemas críticos. Si la plataforma SIEM contiene logs con nombres de usuario, rutas internas, errores de autenticación, tokens, credenciales expuestas accidentalmente o información de integración, puede convertirse en una fuente de inteligencia para el atacante.

Por eso, tras un posible compromiso, conviene revisar:

  • Accesos posteriores desde el servidor Splunk.
  • Autenticaciones contra Active Directory.
  • Uso de cuentas de servicio.
  • Consultas LDAP anómalas.
  • Accesos a controladores de dominio.
  • Movimiento lateral desde o hacia la plataforma.

En entornos híbridos, este tipo de revisión debe conectarse con los riesgos de Active Directory híbrido⁠ y con una estrategia de identidad y Zero Trust⁠.

Implicaciones de cumplimiento: NIS2, DORA y ENS

Este caso tiene una lectura clara de cumplimiento.

Para entidades dentro del alcance de NIS2⁠, la gestión de vulnerabilidades, el parcheo oportuno, el control de accesos, la detección y la respuesta a incidentes no son recomendaciones opcionales. Forman parte de las medidas técnicas y organizativas que deben poder demostrarse.

Un compromiso de la plataforma SIEM puede afectar a la capacidad de detectar, investigar y notificar incidentes. Y, si hay impacto significativo, puede activar obligaciones de comunicación y escalado.

En el caso de DORA⁠, una plataforma de observabilidad de seguridad puede ser un activo TIC crítico. Si está desplegada internamente, entra en el marco de resiliencia operativa digital. Si forma parte de un servicio prestado por un tercero, puede tener implicaciones en la gestión de proveedores TIC.

Bajo el Esquema Nacional de Seguridad⁠, la trazabilidad, la monitorización, la gestión de vulnerabilidades y la respuesta a incidentes son piezas esenciales para poder reconstruir qué ha ocurrido y demostrar control operativo.

La lección regulatoria es sencilla: no basta con tener un SIEM para decir que se monitoriza. Hay que demostrar que el propio SIEM está protegido, actualizado, supervisado y cubierto por el plan de respuesta.

Para organizaciones que trabajan con varios marcos, también puede ser útil revisar la comparación entre ENS, ISO 27001, NIS2 y DORA⁠.

Qué deberían revisar ahora los equipos de seguridad

Si tu organización usa Splunk Enterprise, estas son las preguntas que deberían responderse hoy:

  1. ¿Tenemos Splunk Enterprise en una versión afectada?
  2. ¿Usamos Splunk Cloud Platform o Splunk Enterprise autogestionado?
  3. ¿Está presente el servicio PostgreSQL sidecar?
  4. ¿Es alcanzable desde redes no necesarias?
  5. ¿Existe exposición desde Internet o desde segmentos amplios?
  6. ¿Hemos actualizado a 10.0.7, 10.2.4, 10.4.0 o superior?
  7. ¿Tenemos inventario de apps, scripts, saved searches e integraciones?
  8. ¿Podemos detectar modificaciones no autorizadas en la plataforma?
  9. ¿Hay conexiones salientes anómalas desde el servidor Splunk?
  10. ¿Se han revisado credenciales, tokens y secretos accesibles desde la plataforma?
  11. ¿Tenemos telemetría alternativa si el SIEM se ve comprometido?
  12. ¿El plan de respuesta contempla que la herramienta de detección sea el activo afectado?

Estas preguntas pueden abordarse dentro de una auditoría de seguridad informática⁠, una revisión de postura de seguridad⁠ o un programa de gestión de superficie de ataque⁠.

La lección incómoda

La pregunta que deja CVE-2026-20253 no es si confías en Splunk. Muchas organizaciones confían en Splunk porque es una herramienta potente y crítica para su operación de seguridad.

La pregunta real es otra: ¿has reducido la exposición de tus herramientas de seguridad? ¿Puedes detectar si alguien las manipula? ¿Tu plan de respuesta contempla que la pieza comprometida sea precisamente la que usas para vigilar el resto?

El arsenal defensivo también es infraestructura crítica. SIEM, EDR, NDR, SOAR, consolas cloud, plataformas de gestión y herramientas de despliegue deben formar parte del inventario de activos críticos, del programa de parcheo, de la gestión de exposición y de las pruebas de resiliencia.

Modelar amenazas sobre las herramientas de seguridad ya no es una excentricidad. Es higiene básica.

¿Tu organización sabe si su SIEM está expuesto o manipulado?

En Hard2bit ayudamos a empresas a mejorar su capacidad real de detección, respuesta y resiliencia frente a vulnerabilidades críticas, explotación activa y compromiso de plataformas de seguridad.

Podemos ayudarte con:

Si quieres revisar si tus plataformas de seguridad están correctamente protegidas, actualizadas y monitorizadas, puedes contactar con nuestro equipo desde la página de contacto de Hard2bit⁠.

Fuentes recomendadas

  • Splunk Advisory SVD-2026-0603: CVE-2026-20253
    https://advisory.splunk.com/advisories/SVD-2026-0603
  • CISA: CVE-2026-20253 añadida al catálogo KEV
    https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-adds-one-known-exploited-vulnerability-catalog
  • INCIBE-CERT: creación y truncado arbitrario de archivos sin autenticación en Splunk Enterprise
    https://www.incibe.es/incibe-cert/alerta-temprana/avisos/creacion-y-truncado-arbitrario-de-archivos-sin-autenticacion-en-enterprise-de
  • watchTowr Labs: análisis técnico de CVE-2026-20253
    https://labs.watchtowr.com/why-use-app-level-auth-when-every-database-has-auth-splunk-enterprise-cve-2026-20253-pre-auth-rce/
  • watchTowr Labs GitHub: detector/PoC pública
    https://github.com/watchtowrlabs/watchTowr-vs-Splunk-CVE-2026-20253

Preguntas frecuentes

¿Qué versiones de Splunk Enterprise están afectadas por CVE-2026-20253?

Las versiones 10.0.0 a 10.0.6 y 10.2.0 a 10.2.3. Splunk corrigió el fallo en las versiones 10.0.7, 10.2.4 y 10.4.0; cualquier despliegue por debajo de esas versiones con el servicio auxiliar de PostgreSQL accesible está dentro del rango afectado.

¿Se está explotando de verdad esta vulnerabilidad?

Sí. Splunk ha confirmado explotación limitada en activo y CISA la incorporó a su catálogo de vulnerabilidades explotadas (KEV) el 18 de junio de 2026, con fecha de remediación para la administración federal estadounidense el 21 de junio. Existe además código de prueba de concepto público.

¿Afecta también a Splunk Cloud?

El aviso se refiere a Splunk Enterprise en despliegues propios. En servicios gestionados por el proveedor, el parcheo lo aplica el propio Splunk; lo prudente es confirmar tu versión y el estado de remediación con tu contrato de servicio en lugar de darlo por hecho.

Si no puedo parchear hoy, ¿qué puedo hacer?

El fabricante confirma que desactivar el servicio auxiliar de PostgreSQL mitiga el riesgo, aunque afecta a ciertas funcionalidades. Además, restringe la exposición de red del servicio para que no sea alcanzable desde Internet y vigila los indicadores de compromiso mientras planificas la actualización.

¿Cómo sé si me han comprometido?

Busca el fichero marcador watchTowr.txt, scripts de Python de Splunk modificados (sobre todo en la aplicación splunk_secure_gateway), ficheros nuevos en rutas como /tmp/ o /opt/splunk/var/run/supervisor/pkg-run/, conexiones salientes a servidores PostgreSQL desconocidos y accesos anómalos al endpoint de recuperación.

¿Por qué un fallo en la herramienta de seguridad es tan grave?

Porque el SIEM corre con privilegios, concentra los registros de toda la organización (a veces con credenciales incluidas) y es la fuente de las alertas. Quien lo controla puede leer tus detecciones, extraer datos sensibles y silenciar los avisos que deberían delatarle.

¿Entra esto en el alcance de NIS2 o DORA?

Sí. Para NIS2, la gestión de vulnerabilidades y el parcheo son medidas exigibles y un compromiso puede activar la notificación de incidentes. Bajo DORA, el SIEM es un activo TIC crítico que debe figurar en el registro de información y en las pruebas de resiliencia.

¿Tengo que rotar credenciales aunque ya haya parcheado?

Si el sistema estuvo expuesto antes de aplicar el parche, sí. La ejecución remota de código permite leer o robar credenciales accesibles desde el equipo, así que lo prudente es rotarlas y tratar el sistema como un compromiso potencial hasta descartarlo.