Wazuh Siem Güvenlik Açığı Uzaktan Kötü Amaçlı Kod Yürütülmesini Sağlar


Wazuh Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) platformunda CVE-2025-24016 olarak tanımlanan kritik bir güvenlik açığı keşfedilmiştir.

Bu güvenlik açığı 4.4.0 ila 4.9.0 sürümlerini etkiler ve API erişimi olan saldırganların keyfi Python kodu uzaktan yürütülmesine izin verir ve potansiyel olarak tam sistem uzlaşmasına yol açar.

Kusur, CVE raporlarının raporuna göre, wazuh bileşenleri arasındaki iletişim için kullanılan dağıtılmış API (DAPI) parametrelerinin güvenli olmayan seansize edilmesinden kaynaklanmaktadır.

Güvenlik Açığı Detayları

Aşağıdaki tablo, CVE-2025-24016 güvenlik açığı ve etkilenen Wazuh ürünleri hakkında temel ayrıntıları vurgulamaktadır:

CVE kimliğiEtkilenen yazılımVersiyonlarGüvenlik Açığı TürüŞiddet (CVSSV3.1)Yama versiyonu
CVE-2025-24016Vasuh Siem Platformu4.4.0 ila 4.9.0Uzak Kod Yürütme (RCE)9.9 (kritik)4.9.1

Güvenlik açığı, AS_WAZUH_OBJECT işlevinde/wazuh/core/küme/common.py dosyasında bulunur.

Bu işlev, dağıtılmış API aracılığıyla alınan JSON verilerinin seansiye edilmesinden sorumludur. Yama öncesi sorunlu kod snippet’i aşağıda gösterilmiştir:

def as_wazuh_object(dct: Dict):
    try:
        if '__wazuh_datetime__' in dct:
            return datetime.datetime.fromisoformat(dct['__wazuh_datetime__'])
        elif '__unhandled_exc__' in dct:
            exc_data = dct['__unhandled_exc__']
            return eval(exc_data['__class__'])(*exc_data['__args__'])
        return dct
    except (KeyError, AttributeError):
        return dct

Bu kod, __Class__ ve __Args__ alanlarında sağlanan verilere dayanarak keyfi Python kodu yürütmek için değerlendirme işlevini kullanır ve bu da onu sömürü için bir ana hedef haline getirir.

Etki ve sömürü

Bir saldırgan, API üzerinden Wazuh sunucusuna kötü amaçlı bir JSON yükü göndererek bu güvenlik açığını kullanabilir.

Yükün, yürütülecek kodu belirten __class__ ve __Args__ değerleri ile birlikte __unhandled_exc__ tuşunu içermesi gerekir. Örneğin:

{
    "__unhandled_exc__": {
        "__class__": "os.system",
        "__args__": ["touch /tmp/pwned"]
    }
}

AS_WAZUH_OBJECT işlevi tarafından işlendiğinde, bu yük OS.System (“Touch /TMP /Pwned”) komutunu yürütür ve Wazuh sunucusunda /TMP /Pwned adlı bir dosya oluşturur.

Yama ve hafifletme

Güvenlik açığı, güvenli olmayan değerlendirme işlevini AST.literal_eval ile değiştirerek Wazuh sürüm 4.9.1’de yamalandı.

İkincisi, python tam anlamıyla içeren bir dizeyi güvenli bir şekilde değerlendirir ve keyfi kod yürütülmesini önler. İşte değiştirilmiş kod snippet:

def as_wazuh_object(dct: Dict):
    try:
        if '__wazuh_datetime__' in dct:
            return datetime.datetime.fromisoformat(dct['__wazuh_datetime__'])
        elif '__unhandled_exc__' in dct:
            exc_data = dct['__unhandled_exc__']
            exc_dict = {exc_data['__class__']: exc_data['__args__']}
            return ast.literal_eval(json.dumps(exc_dict))
        return dct
    except (KeyError, AttributeError):
        return dct

Azaltma stratejileri

CVE-2025-24016 riskini azaltmak için kuruluşlar:

  • Wazuh sürüm 4.9.1 veya üstüne yükseltin.
  • API erişimini kısıtlayın yetkili kullanıcılara ve sistemlere.
  • Güçlü kimlik doğrulama uygulayın Çok faktörlü kimlik doğrulama gibi mekanizmalar.
  • API trafiğini izleyin Şüpheli aktivite için.
  • Güvenlik yapılandırmalarını düzenli olarak gözden geçirin ve güncelleyin.
  • Ağ segmentasyonunu uygulayın başarılı bir saldırının etkisini sınırlamak.

Bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmak, Wazuh sunucusuna ulaşmadan önce kötü amaçlı istekleri algılamaya ve engellemeye yardımcı olabilir.

CVE-2025-24016’nın sömürülmesinin aşağıdakiler dahil olmak üzere ciddi sonuçları olabilir.

  • Wazuh sunucusunun tam kontrolü: Saldırganların hassas verilere erişmesine ve yapılandırmaları değiştirmesine izin vermek.
  • Tüm wazuh kümesinin uzlaşması: Ana sunucunun kontrolünü ele geçirerek.
  • Güvenlik izlemenin bozulması: Saldırganların tespit edilmemiş daha fazla saldırı gerçekleştirmesini sağlamak.
  • Hassas verilerin hırsızlığı: Günlüklere, uyarılara ve sunucuda depolanan diğer verilere erişme.
  • Daha fazla saldırı için wazuh sunucusunu kullanmak: Ağ içindeki yanal hareket için bir fırlatma rampası olarak hizmet vermek.

Bu tür saldırıların önlenmesinde sağlam güvenlik önlemlerinin zamanında yamalanması ve uygulanması çok önemlidir.

Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.



Source link