Vulnerability Wazuh SIEM
Chi tiết lỗ hổng:
- CVE-2025-24016: Một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến các phiên bản Wazuh từ 4.4.0 đến 4.9.0.
- Tác động: Kẻ tấn công có quyền truy cập API có thể thực thi mã Python tùy ý trên các máy chủ dễ bị tổn thương, có khả năng làm compromise toàn bộ hạ tầng bảo mật.
- Phân tích kỹ thuật: Lỗ hổng nằm trong hàm
as_wazuh_objecttrongframework/wazuh/core/cluster/common.py, xử lý các yêu cầu và phản hồi API phân tán (DAPI). Hàm này sử dụngevalcủa Python để giải mã dữ liệu JSON, cho phép thực thi payload độc hại. - Khai thác: Việc khai thác yêu cầu quyền truy cập API, có thể đạt được thông qua bảng điều khiển, tác nhân bị xâm nhập hoặc thông tin xác thực yếu. Một bằng chứng về khái niệm (PoC) cho thấy việc khai thác qua endpoint
run_as.
Phân tích Biện pháp và Bản vá
- Bản vá: Wazuh đã giải quyết lỗi này trong phiên bản 4.9.1 bằng cách thay thế
evalbằngast.literal_eval, cái mà đánh giá an toàn các literals mà không thực thi mã tùy ý. - Hành động khuyến nghị: Nâng cấp ngay lên Wazuh 4.9.1, hạn chế quyền truy cập API với xác thực nghiêm ngặt, giám sát lưu lượng API để phát hiện bất thường, và triển khai Tường lửa Ứng dụng Web (WAF) để chặn các yêu cầu chứa
__unhandled_exc__.
Ý nghĩa Ngành
- Rủi ro: Lỗ hổng này nhấn mạnh những rủi ro liên tục trong các quy trình giải mã, gợi nhớ đến các lỗ hổng lịch sử như CVE-2017-5638 của Apache Struts.
- Ý nghĩa: Sự phổ biến của Wazuh trong phát hiện mối đe dọa làm tăng tính cấp thiết của việc vá lỗi. Các quản trị viên cần ưu tiên cập nhật và kiểm tra cấu hình để ngăn chặn việc khai thác.
