Podatność w protokole synchronizacji klastra Wazuh Manager umożliwia uwierzytelnionemu węzłowi klastra przejęcie pełnej kontroli nad systemem z uprawnieniami root. Błąd wynika z niebezpiecznych domyślnych uprawnień pliku konfiguracyjnego oraz braku walidacji zapisywanych plików, co prowadzi do zdalnego wykonania kodu.
▸ Pokaż oryginał (EN)
Wazuh is a free and open source platform used for threat prevention, detection, and response. Starting in version 3.9.0 and prior to version 4.14.3, a privilege escalation vulnerability exists in the Wazuh Manager's cluster synchronization protocol. The `wazuh-clusterd` service allows authenticated nodes to write arbitrary files to the manager’s file system with the permissions of the `wazuh` system user. Due to insecure default permissions, the `wazuh` user has write access to the manager's main configuration file (`/var/ossec/etc/ossec.conf`). By leveraging the cluster protocol to overwrite `ossec.conf`, an attacker can inject a malicious `<localfile>` command block. The `wazuh-logcollector` service, which runs as root, parses this configuration and executes the injected command. This chain allows an attacker with cluster credentials to gain full Root Remote Code Execution, violating the principle of least privilege and bypassing the intended security model. Version 4.14.3 fixes the issue.
Usługa `wazuh-clusterd` pozwala uwierzytelnionym węzłom klastra na zapis dowolnych plików w systemie plików menedżera z uprawnieniami użytkownika systemowego `wazuh`. Ponieważ użytkownik `wazuh` ma domyślnie prawo zapisu do głównego pliku konfiguracyjnego `/var/ossec/etc/ossec.conf`, atakujący może nadpisać ten plik, wstrzykując złośliwy blok `<localfile>` z dowolnym poleceniem systemowym. Usługa `wazuh-logcollector`, działająca z uprawnieniami root, przetwarza zmodyfikowaną konfigurację i wykonuje wstrzyknięte polecenie. Efektem jest eskalacja uprawnień od poziomu węzła klastra do pełnego dostępu root na serwerze zarządzającym (path traversal + privilege escalation + RCE).
Atakujący posiadający dane uwierzytelniające do klastra Wazuh może uzyskać pełny zdalny dostęp z uprawnieniami root do serwera Wazuh Manager, co umożliwia przejęcie kontroli nad całą infrastrukturą bezpieczeństwa, modyfikację lub wyłączenie monitoringu oraz dalsze działania w sieci wewnętrznej.
Należy zaktualizować Wazuh do wersji 4.14.3, która eliminuje podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do portów klastra Wazuh wyłącznie do zaufanych węzłów oraz weryfikację uprawnień pliku `/var/ossec/etc/ossec.conf` (powinien być chroniony przed zapisem przez użytkownika `wazuh`).
Wazuh Manager w wersjach od 3.9.0 do 4.14.2 (włącznie); podatność dotyczy środowisk z włączoną funkcją synchronizacji klastra (`wazuh-clusterd`).
Podatność naprawiona w wersji 4.14.3. Szczegóły techniczne opublikowane w oficjalnym security advisory GitHub: GHSA-r4f7-v3p6-79jm.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HWazuh
APPWazuh3.9.0 – 4.14.3 (bez)
Powiązane podatności
Wazuh: RCE przez niebezpieczną deserializację w DistributedAPI
Path Traversal w Wazuh umożliwiający RCE poprzez synchronizację klastra
RCE przez Deserialization w Wazuh — podatność klastra master/worker
Wazuh Agent (Windows): wyciek hash NetNTLMv2 umożliwiający RCE i privilege escalation
Buffer overflow w Wazuh Manager przy obsłudze znaków Unicode z Windows Eventchannel