Lỗ hổng CVE-2025-24016 là một vấn đề bảo mật nghiêm trọng được phát hiện trong nền tảng Wazuh, một giải pháp mã nguồn mở miễn phí được sử dụng rộng rãi cho việc ngăn chặn, phát hiện và phản ứng với các mối đe dọa an ninh mạng. Lỗ hổng này có điểm CVSS 9.9, cho thấy mức độ nguy hiểm gần như tối đa, với khả năng cho phép thực thi mã từ xa (Remote Code Execution – RCE), một trong những loại tấn công nguy hiểm nhất đối với hệ thống.
Chi tiết về lỗ hổng
CVE-2025-24016 xuất phát từ một vấn đề unsafe deserialization (phản tuần tự hóa không an toàn) trong API của máy chủ Wazuh. Cụ thể, lỗ hổng nằm trong cách mà Wazuh xử lý các tham số của DistributedAPI, vốn được tuần tự hóa dưới dạng JSON và sau đó được phản tuần tự hóa bằng hàm as_wazuh_object (trong tệp framework/wazuh/core/cluster/common.py). Nếu một kẻ tấn công có thể chèn một từ điển (dictionary) không được kiểm soát vào yêu cầu hoặc phản hồi của DAPI, chúng có thể tạo ra một ngoại lệ không được xử lý ( unhandled_exc ), từ đó cho phép thực thi mã Python tùy ý trên máy chủ Wazuh.
Lỗ hổng này ảnh hưởng đến các phiên bản Wazuh từ 4.4.0 đến trước 4.9.1. Wazuh đã khắc phục vấn đề trong phiên bản 4.9.1, do đó người dùng được khuyến nghị nâng cấp ngay lập tức để giảm thiểu rủi ro.
Điều kiện khai thác
Lỗ hổng có thể bị khai thác bởi bất kỳ ai có quyền truy cập vào API của Wazuh, bao gồm:
• Dashboard bị xâm phạm hoặc các máy chủ Wazuh trong cùng cụm (cluster).
• Trong một số cấu hình cụ thể, thậm chí tác nhân (agent) bị xâm phạm cũng có thể kích hoạt lỗ hổng.
Điều này có nghĩa là kẻ tấn công không nhất thiết phải có quyền truy cập cấp cao ban đầu; chỉ cần một điểm xâm nhập nhỏ trong hệ thống (như một tác nhân bị nhiễm mã độc) cũng có thể dẫn đến việc kiểm soát toàn bộ máy chủ Wazuh.
Hậu quả tiềm tàng
Nếu bị khai thác thành công, CVE-2025-24016 cho phép kẻ tấn công:
• Thực thi mã tùy ý trên máy chủ Wazuh với quyền hạn cao nhất (thường là root).
• Kiểm soát hoàn toàn hệ thống bị ảnh hưởng.
• Truy cập hoặc thay đổi dữ liệu nhạy cảm, bao gồm nhật ký, thông tin cấu hình, và các biện pháp bảo mật khác được Wazuh quản lý.
• Tạo điều kiện cho các cuộc tấn công tiếp theo vào các hệ thống khác trong mạng.
Do Wazuh thường được triển khai để giám sát và bảo vệ cơ sở hạ tầng quan trọng, việc khai thác lỗ hổng này có thể gây ra hậu quả nghiêm trọng đối với tổ chức.
Giải pháp và khuyến nghị
1. Nâng cấp ngay lập tức: Người dùng cần cập nhật Wazuh lên phiên bản 4.9.1 hoặc cao hơn để vá lỗ hổng.
2. Kiểm tra quyền truy cập API: Hạn chế quyền truy cập vào API của Wazuh chỉ cho các nguồn đáng tin cậy, chẳng hạn như địa chỉ IP nội bộ.
3. Củng cố cấu hình tác nhân: Đảm bảo các tác nhân (agent) được cấu hình an toàn để ngăn chặn khả năng bị xâm phạm từ phía chúng.
4. Giám sát bất thường: Theo dõi các hoạt động bất thường trên máy chủ Wazuh để phát hiện sớm các dấu hiệu khai thác.
Lịch sử phát hiện
Lỗ hổng này được nhóm bảo mật của Wazuh ghi nhận công lao cho nhà nghiên cứu bảo mật DanielFi, người đã báo cáo vấn đề thông qua quy trình tiết lộ lỗ hổng có trách nhiệm. Thông tin chi tiết được công bố vào khoảng ngày 11 tháng 2 năm 2025, cùng với bản vá chính thức trong phiên bản 4.9.1.
Kết luận
CVE-2025-24016 là một lời nhắc nhở về tầm quan trọng của việc cập nhật phần mềm kịp thời và duy trì các biện pháp bảo mật chặt chẽ trong các hệ thống giám sát an ninh. Với mức độ nghiêm trọng cao và khả năng khai thác từ xa, các tổ chức sử dụng Wazuh cần hành động nhanh chóng để bảo vệ cơ sở hạ tầng của mình khỏi mối đe dọa này.
