Wazuh 服务器严重漏洞允许远程攻击者执行恶意代码
- 浏览次数 443
- 喜欢 0
HackerNews 编译,转载请注明出处:
在 Wazuh 服务器中发现了一个关键的远程代码执行(RCE)漏洞,Wazuh 是一个用于威胁检测和合规监控的流行开源安全平台。
该漏洞被标识为 CVE-2025-24016,允许具有 API 访问权限的攻击者在服务器上执行任意 Python 代码,对受影响的系统构成重大威胁。该漏洞的 CVSS 评分为 9.9,反映了其严重性。
问题源于 Wazuh API 的 DistributedAPI 组件中的不安全反序列化。具体来说,参数被序列化为 JSON,并在 framework/wazuh/core/cluster/common.py 文件中使用 as_wazuh_object 函数进行反序列化。
攻击者可以通过在 DistributedAPI(DAPI)请求或响应中注入未经过滤的字典来利用这一点,从而执行任意代码。
一个值得注意的攻击向量涉及 run_as 端点,攻击者可以操纵 auth_context 参数来构建恶意请求。
这些请求可能导致在主服务器上执行任意代码。此外,在某些配置下,被攻陷的 Wazuh 代理可以通过在 API 请求中注入恶意负载来利用此漏洞。
受影响的版本
- 易受攻击的版本:Wazuh Manager 4.4.0 至 4.9.0 版本。
- 已修复的版本:4.9.1 及更高版本。
该漏洞允许攻击者:
- 远程执行任意 Python 代码。
- 关闭或控制 Wazuh 服务器。
- 利用被攻陷的代理在集群内传播攻击。
此类攻击可能破坏系统的完整性、可用性和机密性,对于依赖 Wazuh 进行安全监控的组织来说,这是一个关键问题。
一个公开的 PoC(概念验证)演示了攻击者如何通过 API 请求发送精心制作的 JSON 负载来利用此漏洞。例如,对 run_as 端点的恶意请求可以注入一个未经过滤的异常(unhandled_exc),从而触发任意代码执行。
为了解决此漏洞:
- 立即升级:更新到 Wazuh 4.9.1 或更高版本,该问题已在这些版本中得到修复。
- 限制 API 访问:将 API 访问限制在受信任的网络,并强制执行严格的认证措施。
- 监控日志:定期审查日志,留意可疑活动,如异常的 API 调用或未授权的访问尝试。
- 加强代理配置:确保 Wazuh 代理的安全,防止通过被攻陷的端点进行利用。
强烈建议各组织尽快实施这些措施,以降低潜在的利用风险,保护其基础设施免受利用 CVE-2025-24016 的攻击者侵害。
消息来源:Cybersecurity News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文