Podatność w Wazuh agencie dla Windows (wersje przed 4.8.0) pozwala atakującemu kontrolującemu serwer Wazuh lub klucz agenta na skierowanie agenta do złośliwej ścieżki UNC, co prowadzi do wycieku hash NetNTLMv2 konta maszynowego. Przechwycony hash może zostać użyty do wykonania zdalnego kodu (RCE) lub eskalacji uprawnień do poziomu SYSTEM.
▸ Pokaż oryginał (EN)
Improper input validation in the Wazuh agent for Windows prior to version 4.8.0 allows an attacker with control over the Wazuh server or agent key to configure the agent to connect to a malicious UNC path. This results in the leakage of the machine account NetNTLMv2 hash, which can be relayed for remote code execution or used to escalate privileges to SYSTEM via AD CS certificate forging and other similar attacks.
Podatność wynika z braku właściwej walidacji danych wejściowych (CWE-20, CWE-73) podczas konfiguracji agenta. Atakujący posiadający dostęp do serwera Wazuh lub klucza agenta może skonfigurować agenta tak, aby nawiązał połączenie ze złośliwą ścieżką UNC kontrolowaną przez napastnika. W wyniku próby uwierzytelnienia do tej ścieżki system Windows automatycznie ujawnia hash NetNTLMv2 konta maszynowego. Uzyskany hash może zostać przekazany (relay attack) w celu wykonania kodu na innym systemie lub wykorzystany do eskalacji uprawnień do SYSTEM poprzez fałszowanie certyfikatów AD CS (Active Directory Certificate Services) i podobne techniki.
Atakujący może uzyskać zdalny dostęp do systemów w środowisku (RCE) lub eskalować uprawnienia do SYSTEM na zaatakowanej maszynie. W środowisku Active Directory atak może prowadzić do kompromitacji infrastruktury domenowej.
Należy zaktualizować Wazuh agenta dla Windows do wersji 4.8.0 lub nowszej. Dodatkowo zaleca się ograniczenie dostępu do serwera Wazuh i kluczy agentów wyłącznie do zaufanych podmiotów oraz monitorowanie ruchu wychodzącego pod kątem nieoczekiwanych połączeń SMB/UNC. Szczegóły dostępne w oficjalnym security advisory producenta (GHSA-3crh-39qv-fxj7).
Wazuh agent dla systemu Windows w wersjach wcześniejszych niż 4.8.0
Podatność wymaga, aby atakujący posiadał wcześniejszy dostęp do serwera Wazuh lub klucza agenta — co podnosi poprzeczkę wejścia, stąd wektor CVSS wskazuje wysoką złożoność ataku (AC:H) i wymagane warunki wstępne (AT:P). Informacje o odkryciu opublikowane przez firmę Pentraze (pentraze.com).
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XWazuh
APPWazuh< 4.8.0
Powiązane podatności
Wazuh: RCE przez niebezpieczną deserializację w DistributedAPI
Path Traversal w Wazuh umożliwiający RCE poprzez synchronizację klastra
RCE przez Deserialization w Wazuh — podatność klastra master/worker
Wazuh: privilege escalation do root przez cluster protocol (RCE)
Buffer overflow w Wazuh Manager przy obsłudze znaków Unicode z Windows Eventchannel