Vulnérabilité critique sur le serveur Wazuh!!
Salut à tous,
Aujourd'hui, on se retrouve pour parler de la dernière vulnérabilité critique RCE découverte sur le serveur Wazuh sous la référence CVE-2025-24016.
On ne présente plus Wazuh l'une des solutions de sécurité open source principales en tant que terme de protection XDR (Extended Detection and Response) et SIEM (Security, Information and Event Management) unifiée pour les différentes terminaux ainsi que les charges de travail Cloud.
Sur Github, un avis de sécurité vient d'être publié portant sur cette vulnérabilité critique (CVE-2025-24016) avec un score CVSS de 9,9/10 portant sur une exécution de code à distance capable d'affecter la plateforme. Suite à celle-ci, les attaquants sont capables de prendre le contrôle total des serveurs Wazuh vulnérables.
Elle proviendrait d'un problème de désérialisation non sécurisé dans l'API du serveur par laquelle le pirate va envoyer une requête spécialement conçue au serveur pour découler sur une exécution de code arbitraire.
Un PoC (Proof-of-Concept) a été fourni pour démontrer l'exploit d'un attaquant venant abuser de l'API de Wazuh pour pouvoir arrêter immédiatement le serveur maître par le biais de cette commande:
Sur Github, un avis de sécurité vient d'être publié portant sur cette vulnérabilité critique (CVE-2025-24016) avec un score CVSS de 9,9/10 portant sur une exécution de code à distance capable d'affecter la plateforme. Suite à celle-ci, les attaquants sont capables de prendre le contrôle total des serveurs Wazuh vulnérables.
Elle proviendrait d'un problème de désérialisation non sécurisé dans l'API du serveur par laquelle le pirate va envoyer une requête spécialement conçue au serveur pour découler sur une exécution de code arbitraire.
Un PoC (Proof-of-Concept) a été fourni pour démontrer l'exploit d'un attaquant venant abuser de l'API de Wazuh pour pouvoir arrêter immédiatement le serveur maître par le biais de cette commande:
curl -X POST -k -u "wazuh-wui:MyS3cr37P450r.*-" -H "Content-Type: application/json" --data '{"__unhandled_exc__":{"__class__": "exit", "__args__": []}}' https://<worker-server>:55000/security/user/authenticate/run_as
En résumé plus technique, les paramètres de DistributedAPI, sérialisés en JSON, peuvent être vulnérables à une injection d'attaquant, permettant l'exécution de code Python arbitraire via des exceptions non gérées.
En utilisant l'API serveur, un attaquant peut manipuler l'argument auth_context dans une requête run_as, entraînant l'exécution de code sur le serveur maître. De plus, un agent compromis peut renvoyer un objet JSON malveillant lors d'une requête getconfig, provoquant une désérialisation non sécurisée sur le serveur qui a initié la requête.
En utilisant l'API serveur, un attaquant peut manipuler l'argument auth_context dans une requête run_as, entraînant l'exécution de code sur le serveur maître. De plus, un agent compromis peut renvoyer un objet JSON malveillant lors d'une requête getconfig, provoquant une désérialisation non sécurisée sur le serveur qui a initié la requête.
Concernant les versions vulnérables, elles touchent les dernières versions allant de v4.4.0 à v4.9.0.
Pour la remédiation, un patch est déjà disponible dans la v4.9.1. Celle-ci est vivement recommandé au vu du score CVSS et des conséquences si l'exploit est réalisé.
De plus, il est ajouté comme recommandation aux organisations d'examiner les autorisations d'accès aux API ainsi que de renforcer la configuration des différents agents pour bloquer toute exploitation.
Pour la remédiation, un patch est déjà disponible dans la v4.9.1. Celle-ci est vivement recommandé au vu du score CVSS et des conséquences si l'exploit est réalisé.
De plus, il est ajouté comme recommandation aux organisations d'examiner les autorisations d'accès aux API ainsi que de renforcer la configuration des différents agents pour bloquer toute exploitation.
Commentaires
Enregistrer un commentaire