Wazuh w wersjach 4.0.0–4.14.2 zawiera krytyczną podatność klasy RCE wynikającą z deserializacji niezaufanych danych (CWE-502). Atakujący z dostępem do węzła worker może uzyskać pełne wykonanie kodu na węźle master z uprawnieniami root.
▸ Pokaż oryginał (EN)
Wazuh is a free and open source platform used for threat prevention, detection, and response. Versions 4.0.0 through 4.14.2 have a Remote Code Execution (RCE) vulnerability due to Deserialization of Untrusted Data). All Wazuh deployments using cluster mode (master/worker architecture) and any organization with a compromised worker node (e.g., through initial access, insider threat, or supply chain attack) are impacted. An attacker who gains access to a worker node (through any means) can achieve full RCE on the master node with root privileges. Version 4.14.3 fixes the issue.
Podatność występuje w implementacji komunikacji klastrowej (architektura master/worker). Gdy atakujący uzyska dostęp do węzła worker — np. poprzez initial access, insider threat lub atak na łańcuch dostaw — może wysyłać do węzła master spreparowane dane, które podlegają deserializacji bez odpowiedniej walidacji. Deserialization niezaufanych danych pozwala na wstrzyknięcie złośliwego obiektu, którego przetworzenie skutkuje wykonaniem dowolnego kodu po stronie master node z uprawnieniami root.
Atakujący może uzyskać pełną kontrolę nad węzłem master Wazuh z uprawnieniami root, co w praktyce oznacza kompromitację całej infrastruktury monitorowania bezpieczeństwa oraz potencjalny lateral movement do środowisk zarządzanych przez platformę.
Należy zaktualizować Wazuh do wersji 4.14.3, która zawiera poprawkę eliminującą podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do węzłów klastra oraz wzmożony monitoring integralności węzłów worker.
Wazuh w wersjach 4.0.0 do 4.14.2 działający w trybie klastrowym (architektura master/worker). Wszystkie wdrożenia korzystające z tego trybu są narażone.
Podatność wymaga uprzedniego uzyskania dostępu do węzła worker jako warunku wstępnego (PR:H w CVSS), jednak wektor S:C (Scope Changed) wskazuje na możliwość eskalacji wpływu poza granice kompromitowanego komponentu — do węzła master. Poprawka dostępna w wersji 4.14.3 zgodnie z oficjalnym advisory GitHub Security Advisories (GHSA-3gm7-962f-fxw5).
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HWazuh
APPWazuh4.0.0 – 4.14.3 (bez)
Powiązane podatności
Wazuh: RCE przez niebezpieczną deserializację w DistributedAPI
Path Traversal w Wazuh umożliwiający RCE poprzez synchronizację klastra
Wazuh: privilege escalation do root przez cluster protocol (RCE)
Wazuh Agent (Windows): wyciek hash NetNTLMv2 umożliwiający RCE i privilege escalation
Buffer overflow w Wazuh Manager przy obsłudze znaków Unicode z Windows Eventchannel