CRITICAL🇬🇧 English

CVE-2024-1243

Wazuh Agent (Windows): wyciek hash NetNTLMv2 umożliwiający RCE i privilege escalation

CVSS 9.5v4.0pub. 2025-06-11upd. 2025-10-01

Podatność w Wazuh agencie dla Windows (wersje przed 4.8.0) pozwala atakującemu kontrolującemu serwer Wazuh lub klucz agenta na skierowanie agenta do złośliwej ścieżki UNC, co prowadzi do wycieku hash NetNTLMv2 konta maszynowego. Przechwycony hash może zostać użyty do wykonania zdalnego kodu (RCE) lub eskalacji uprawnień do poziomu SYSTEM.

Pokaż oryginał (EN)

Improper input validation in the Wazuh agent for Windows prior to version 4.8.0 allows an attacker with control over the Wazuh server or agent key to configure the agent to connect to a malicious UNC path. This results in the leakage of the machine account NetNTLMv2 hash, which can be relayed for remote code execution or used to escalate privileges to SYSTEM via AD CS certificate forging and other similar attacks.

🤖 Analiza AI
Jak działa

Podatność wynika z braku właściwej walidacji danych wejściowych (CWE-20, CWE-73) podczas konfiguracji agenta. Atakujący posiadający dostęp do serwera Wazuh lub klucza agenta może skonfigurować agenta tak, aby nawiązał połączenie ze złośliwą ścieżką UNC kontrolowaną przez napastnika. W wyniku próby uwierzytelnienia do tej ścieżki system Windows automatycznie ujawnia hash NetNTLMv2 konta maszynowego. Uzyskany hash może zostać przekazany (relay attack) w celu wykonania kodu na innym systemie lub wykorzystany do eskalacji uprawnień do SYSTEM poprzez fałszowanie certyfikatów AD CS (Active Directory Certificate Services) i podobne techniki.

Skutki

Atakujący może uzyskać zdalny dostęp do systemów w środowisku (RCE) lub eskalować uprawnienia do SYSTEM na zaatakowanej maszynie. W środowisku Active Directory atak może prowadzić do kompromitacji infrastruktury domenowej.

Mitygacja

Należy zaktualizować Wazuh agenta dla Windows do wersji 4.8.0 lub nowszej. Dodatkowo zaleca się ograniczenie dostępu do serwera Wazuh i kluczy agentów wyłącznie do zaufanych podmiotów oraz monitorowanie ruchu wychodzącego pod kątem nieoczekiwanych połączeń SMB/UNC. Szczegóły dostępne w oficjalnym security advisory producenta (GHSA-3crh-39qv-fxj7).

Kogo dotyczy

Wazuh agent dla systemu Windows w wersjach wcześniejszych niż 4.8.0

Uwagi

Podatność wymaga, aby atakujący posiadał wcześniejszy dostęp do serwera Wazuh lub klucza agenta — co podnosi poprzeczkę wejścia, stąd wektor CVSS wskazuje wysoką złożoność ataku (AC:H) i wymagane warunki wstępne (AT:P). Informacje o odkryciu opublikowane przez firmę Pentraze (pentraze.com).

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Wazuh

    APP
    Wazuh
    < 4.8.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCELPE
CWE
Referencje

Powiązane podatności

CVE-2025-24016CRITICAL9.9⚠ KEVPL ✓ten sam produkt

Wazuh: RCE przez niebezpieczną deserializację w DistributedAPI

CVE-2026-30893CRITICAL9.0PL ✓ten sam produkt

Path Traversal w Wazuh umożliwiający RCE poprzez synchronizację klastra

CVE-2026-25769CRITICAL9.1PL ✓ten sam produkt

RCE przez Deserialization w Wazuh — podatność klastra master/worker

CVE-2026-25770CRITICAL9.1PL ✓ten sam produkt

Wazuh: privilege escalation do root przez cluster protocol (RCE)

CVE-2024-32038CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w Wazuh Manager przy obsłudze znaków Unicode z Windows Eventchannel