CISA ព្រមានអំពីភាពងាយរងគ្រោះនៃមុខងារសំខាន់របស់ Splunk Enterprise ដែលត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅក្នុងការវាយប្រហារ

CISA បានចេញសេចក្តីជូនដំណឹងបន្ទាន់មួយដល់អង្គការនានាអំពីភាពងាយរងគ្រោះដ៏សំខាន់មួយនៅក្នុង Splunk Enterprise ដែលកំពុងត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្ម។

កំហុសឆ្គងនេះ ដែលត្រូវបានតាមដានថាជា CVE-2026-20253 ត្រូវបានបន្ថែមទៅក្នុងកាតាឡុក Known Exploited Vulnerabilities (KEV) របស់ CISA ដែលបង្ហាញពីហានិភ័យភ្លាមៗចំពោះបរិស្ថានសហគ្រាស។

យោងតាម ​​CISA ភាពងាយរងគ្រោះនេះកើតចេញពីយន្តការផ្ទៀងផ្ទាត់ដែលបាត់សម្រាប់មុខងារសំខាន់មួយនៅក្នុង Splunk Enterprise។ ជាពិសេស បញ្ហានេះប៉ះពាល់ដល់ចំណុចបញ្ចប់សេវាកម្ម PostgreSQL sidecar ដែលអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់អាចរំលោភបំពានបាន។

ការកេងប្រវ័ញ្ចដោយជោគជ័យអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងបង្កើត ឬកាត់ឯកសារតាមអំពើចិត្តនៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់ ដែលអាចបណ្តាលឱ្យមានការរំខានដល់ប្រតិបត្តិការធ្ងន់ធ្ងរ ឬការសម្របសម្រួលបន្ថែមទៀត។

កំហុសឆ្គងនេះត្រូវបានចាត់ថ្នាក់ក្រោម CWE-306 (Missing Authentication for Critical Function) ដែលជាថ្នាក់នៃភាពងាយរងគ្រោះដែលបន្តបង្កហានិភ័យយ៉ាងសំខាន់ដោយសារតែការគ្រប់គ្រងការចូលប្រើមិនគ្រប់គ្រាន់លើប្រតិបត្តិការដែលងាយរងគ្រោះ។

ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៃមុខងារសហគ្រាស Splunk

ក្នុងករណីនេះ អ្នកវាយប្រហារមិនតម្រូវឱ្យមានលិខិតសម្គាល់ដែលមានសុពលភាពដើម្បីកេងប្រវ័ញ្ចបញ្ហានេះទេ ដែលបង្កើនភាពធ្ងន់ធ្ងររបស់វាយ៉ាងខ្លាំង និងធ្វើឱ្យឧទាហរណ៍ដែលប៉ះពាល់នឹងអ៊ីនធឺណិតងាយរងគ្រោះជាពិសេស។

ទោះបីជាមិនមានយុទ្ធនាការ ransomware ត្រូវបានបញ្ជាក់ក៏ដោយ CISA បានសង្កត់ធ្ងន់ថា ភាពងាយរងគ្រោះនេះបង្កហានិភ័យខ្ពស់ដោយសារតែភាពងាយស្រួលនៃការកេងប្រវ័ញ្ច និងផលប៉ះពាល់ដែលអាចកើតមាន។

អ្នកវាយប្រហារអាចទាញយកប្រយោជន៍ពីសមត្ថភាពបង្កើតឯកសារ ឬលុបដោយបំពានដើម្បីរៀបចំឥរិយាបថប្រព័ន្ធ រំខានដល់យន្តការកត់ត្រា ឬរៀបចំបន្ទុកបន្ថែម។

CISA បានបន្ថែម CVE-2026-20253 ទៅក្នុងកាតាឡុក KEV របស់ខ្លួននៅថ្ងៃទី 18 ខែមិថុនា ឆ្នាំ 2026 ហើយបានតម្រូវឱ្យមានការកែតម្រូវក្រោម Binding Operational Directive (BOD) 26-04។

ភ្នាក់ងារសហព័ន្ធត្រូវបានតម្រូវឱ្យដោះស្រាយភាពងាយរងគ្រោះនេះនៅថ្ងៃទី 21 ខែមិថុនា ឆ្នាំ 2026 ដោយបញ្ជាក់ពីភាពបន្ទាន់នៃការគំរាមកំហែង។

សេចក្តីណែនាំនេះផ្តល់អាទិភាពដល់ការបិទភ្ជាប់យ៉ាងឆាប់រហ័សនៃភាពងាយរងគ្រោះដែលបានកេងប្រវ័ញ្ចយ៉ាងសកម្មដែលបង្កហានិភ័យយ៉ាងសំខាន់ដល់បណ្តាញសហព័ន្ធ។ ក្រុមសន្តិសុខត្រូវបានណែនាំយ៉ាងខ្លាំងឱ្យអនុវត្តតាមការណែនាំអំពីការកាត់បន្ថយដែលផ្តល់ដោយអ្នកលក់ Splunk។

អង្គការនានាគួរតែវាយតម្លៃភ្លាមៗថាតើការដាក់ពង្រាយ Splunk Enterprise របស់ពួកគេត្រូវបានប៉ះពាល់នឹងអ៊ីនធឺណិតដែរឬទេ ហើយអនុវត្តការអាប់ដេត ឬការកាត់បន្ថយចាំបាច់។

ប្រសិនបើបំណះមិនអាចប្រើបាន ឬមិនអាចអនុវត្តបានទាន់ពេលវេលា CISA ណែនាំឱ្យបញ្ឈប់ការប្រើប្រាស់ផលិតផលដែលរងផលប៉ះពាល់រហូតដល់វាអាចត្រូវបានធានាសុវត្ថិភាព។

លើសពីនេះ CISA បានជំរុញឱ្យភាគីពាក់ព័ន្ធអនុវត្តតាមតម្រូវការ Forensics Triage របស់ខ្លួនដើម្បីរកឃើញការសម្របសម្រួលដែលអាចកើតមាន។ នេះរួមបញ្ចូលទាំងការពិនិត្យឡើងវិញនូវកំណត់ហេតុ ការត្រួតពិនិត្យសកម្មភាពឯកសារមិនធម្មតា និងការកំណត់អត្តសញ្ញាណការប៉ុនប៉ងចូលប្រើដោយគ្មានការអនុញ្ញាតទៅកាន់ចំណុចបញ្ចប់សេវាកម្ម PostgreSQL។

សេណារីយ៉ូវាយប្រហារឧទាហរណ៍អាចពាក់ព័ន្ធនឹងអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលផ្ញើសំណើដែលបានបង្កើតទៅកាន់ចំណុចបញ្ចប់ដែលងាយរងគ្រោះដើម្បីសរសេរជាន់លើការកំណត់រចនាសម្ព័ន្ធ ឬឯកសារកំណត់ហេតុសំខាន់ៗ។ នេះអាចបិទការត្រួតពិនិត្យសុវត្ថិភាព ឬអនុញ្ញាតឱ្យមានចលនាចំហៀងបន្ថែមទៀតនៅក្នុងបណ្តាញ។

អង្គការដែលប្រើប្រាស់ Splunk Enterprise គួរតែចាត់ទុកភាពងាយរងគ្រោះនេះជាអាទិភាពកំពូល។ សកម្មភាពភ្លាមៗ រួមទាំងការបំណះ ការវាយតម្លៃការប៉ះពាល់ និងការផ្ទៀងផ្ទាត់កោសល្យវិច្ច័យ គឺចាំបាច់ដើម្បីការពារការកេងប្រវ័ញ្ច និងកាត់បន្ថយការខូចខាតដែលអាចកើតមាន។