Wazuh, eine einheitliche Open-Source-XDR- und SIEM-Plattform, enthält eine kritische Schwachstelle (CVE-2025-24016), die Versionen >= 4.4.0 und < 4.9.1 betrifft. Dieses Problem, das auf eine unsichere Deserialisierung zurückzuführen ist, ermöglicht die Remote-Code-Ausführung (RCE) durch bösartige Eingaben an die DistributedAPI. Aufgrund ihrer Funktion als zentrale Komponente bei der Überwachung der IT-Sicherheit birgt die Ausnutzung dieser Schwachstelle erhebliche Risiken für die Integrität und Verfügbarkeit des Systems.

Die Schwachstelle hat einen CVSS-Score von 9,9 (Kritisch) und kann von Angreifern mit gültigen API-Anmeldedaten ausgenutzt werden. Wenn Standard-Anmeldedaten noch verwendet werden, können diese zur Kompromittierung des Systems genutzt werden. Darüber hinaus könnte ein kompromittierter Wazuh-Agent als Einstiegspunkt für den Angriff dienen. Dieses Problem betrifft insbesondere Organisationen, die sich auf Wazuh-Cluster oder Konfigurationen verlassen, in denen Agenten eine Schlüsselrolle spielen.

Produkt	Wazuh
Datum	18.02.2025 12:36:09
Informationen	Trending Fix verfügbar

Technische Zusammenfassung

CVE-2025-24016 resultiert aus einer unsicheren Deserialisierung von DistributedAPI (DAPI)-Parametern, die als JSON-Objekte behandelt werden. Insbesondere die Funktion as_wazuh_object des Wazuh-Frameworks bereinigt Eingaben nicht korrekt. Ein Angreifer, der über gültige API-Anmeldedaten verfügt, kann ein nicht bereinigtes Dictionary injizieren, um diese Schwachstelle auszunutzen, was zur willkürlichen Ausführung von Python-Code führt.

Ausnutzungsszenarien:

1. API-Zugriff mit gültigen Anmeldedaten

   • Die Schwachstelle kann durch das Senden einer bösartigen Anfrage (z. B. über den Endpunkt run_as) ausgelöst werden. Ein Angreifer mit gültigen Anmeldedaten kann den Parameter auth_context vollständig kontrollieren, der zur Verarbeitung an den Master-Server weitergeleitet wird.
   • Standard-Anmeldedaten (z. B. wazuh-wui:MyS3cr37P450r.*-) erhöhen das Risiko erheblich, wenn sie nicht geändert werden.
   • Bösartige Payloads in solchen Anfragen führen zu RCE auf dem Master-Server.

2. Kompromittierter Agent

   • Ein kompromittierter Agent kann eine manipulierte getconfig-Antwort senden, die bösartiges JSON enthält.
   • Wenn sich diese Anfrage innerhalb eines Clusters zwischen Servern ausbreitet, könnte dies zu einer unsicheren Deserialisierung auf dem Zielserver führen.

Technische Details:

• Die Schwachstelle hat ihren Ursprung in der Datei framework/wazuh/core/cluster/common.py, wo die Funktion as_wazuh_object serialisierte JSON-Daten unangemessen verarbeitet.
• Bösartige JSON-Objekte, einschließlich solcher mit Attributen wie __unhandled_exc__, können beliebigen Code ausführen.
• Beispiele für den Missbrauch umfassen die Injektion von __callable__-Objekten oder die Aktivierung von Exception-Gadgets, um das System weiter zu kompromittieren.

Empfehlungen

1. Patch umgehend anwenden

• Aktualisieren Sie auf Wazuh 4.9.1 oder höher, wo die Schwachstelle vollständig behoben wurde. Wenden Sie diesen Patch auf alle betroffenen Komponenten an, einschließlich Server und Agenten, und befolgen Sie dabei die in Ihrem Unternehmen etablierten Test- und Freigabeprozesse.

1. Standard-Anmeldedaten ändern

• Stellen Sie sicher, dass Standard-Anmeldedaten wie wazuh-wui:MyS3cr37P450r.*- sofort geändert werden. Verwenden Sie starke, eindeutige Passwörter für alle Konten, um unbefugten Zugriff zu verhindern.

1. Überwachung verbessern

• Implementieren Sie Protokollierungs- und Erkennungsmechanismen, um verdächtige API-Anfragen zu identifizieren, insbesondere an Endpunkte wie run_as oder DAPI-Anfragen.
• Überwachen Sie das Verhalten von Agenten auf Anomalien, wie z. B. unerwartete getconfig-Antworten.

1. Eingabebereinigung und Konfigurationshärtung

• Stellen Sie sicher, dass alle Eingaben, die as_wazuh_object erreichen, ordnungsgemäß validiert werden.
• Isolieren Sie kritische Komponenten innerhalb der Wazuh-Architektur, um Angriffswege zu begrenzen (z. B. durch Trennung der Agentenkommunikation vom API-Zugriff).

[Callforaction-THREAT-Footer]