Se ha identificado una vulnerabilidad crítica en Splunk Universal Forwarder para Windows que compromete los controles de acceso a los directorios. Esta falla, clasificada como CVE-2025-20298 y con una puntuación CVSSv3.1 de 8.0, impacta diversas versiones del software, presentando un riesgo significativo para la seguridad en entornos empresariales que utilizan las funciones de reenvío de datos de Splunk. La vulnerabilidad se origina por una incorrecta asignación de permisos durante la instalación o actualización de Universal Forwarder para Windows.
Esta falla de seguridad está clasificada como CWE-732 (Asignación de permisos incorrecta para recursos críticos), lo que indica un problema fundamental con los mecanismos de control de acceso.
La vulnerabilidad se manifiesta cuando las versiones de Universal Forwarder para Windows inferiores a 9.4.2, 9.3.4, 9.2.6 y 9.1.9 se instalan recientemente o se actualizan a una versión afectada.
Durante estos procesos, el directorio de instalación, normalmente ubicado en C:\Program Files\SplunkUniversalForwarder, recibe permisos incorrectos que permiten a los usuarios que no son administradores acceder al directorio y a todo su contenido.
Esto representa una violación significativa del principio de privilegio mínimo, una piedra angular de los marcos de seguridad empresarial.
El vector CVSSv3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H indica que, si bien el ataque requiere privilegios de bajo nivel e interacción del usuario, puede tener un alto impacto en la confidencialidad, la integridad y la disponibilidad.
El componente del vector de ataque a la red sugiere un potencial de explotación remota en determinadas circunstancias.
El alcance de esta vulnerabilidad es considerable y afecta a cuatro ramas de versiones principales de Splunk Universal Forwarder para Windows.
Específicamente, la vulnerabilidad afecta las versiones en la rama 9.4 por debajo de 9.4.2, la rama 9.3 por debajo de 9.3.4, la rama 9.2 por debajo de 9.2.6 y la rama 9.1 por debajo de 9.1.9.
Esta amplia cobertura de versiones indica que numerosas implementaciones empresariales pueden ser vulnerables.
Las implicaciones de seguridad son particularmente preocupantes para las organizaciones que utilizan Splunk Universal Forwarder para recopilar y reenviar datos de registro confidenciales desde sistemas Windows.
Los usuarios que no sean administradores y obtengan acceso no autorizado al directorio de instalación podrían potencialmente ver archivos de configuración, acceder a datos reenviados o incluso modificar el comportamiento de reenvío.
Esto podría provocar la filtración de datos, la manipulación de pistas de auditoría o la interrupción de funciones críticas de monitoreo y cumplimiento.
Recomendaciones para mitigación
Splunk recomienda una actualización inmediata a las versiones fijas: 9.4.2, 9.3.4, 9.2.6, 9.1.9 o superior.
Las organizaciones deben priorizar estas actualizaciones dada la alta clasificación de gravedad y la posibilidad de escalada de privilegios.
Para entornos donde la actualización inmediata no es factible, Splunk proporciona un comando de mitigación específico que debe ejecutarse como administrador del sistema Windows.
La solución implica ejecutar el siguiente comando icacls.exe desde un símbolo del sistema o una ventana de PowerShell:
Este comando icacls elimina los permisos problemáticos dirigiéndose al grupo de usuarios integrados (representado por *BU) desde el directorio de instalación.
El parámetro /remove:g elimina permisos de grupos específicos, mientras que el indicador /C continúa la operación a pesar de los errores encontrados.
Las organizaciones deben aplicar esta medida de mitigación en tres escenarios específicos: en las nuevas instalaciones de las versiones afectadas, al actualizar versiones ya existentes, y en situaciones donde se desinstale y reinstale el software Splunk afectado. Es imperativo que los administradores de sistemas implementen esta solución de forma inmediata después de cualquiera de estas operaciones para prevenir el acceso no autorizado.
