Zusammenfassung

Eine neue Schwachstelle wurde in der Wazuh-Plattform entdeckt, die sowohl lokale als auch entfernte Ausführung von Befehlen (LPE und RCE) durch eine falsche Validierung im host_deny Script ermöglicht. Diese Schwachstelle betrifft die Versionen vor 4.7.2 und wurde unter der CVE-ID CVE-2023-50260 registriert.

Timeline

• Schwachstelle entdeckt: Datum der Entdeckung nicht öffentlich spezifiziert.
• Veröffentlichung der Schwachstelle: 20.04.2024
• Schwachstelle behoben in Version >= 4.7.2: Die Korrektur wurde vor der offiziellen Bekanntgabe durchgeführt.

Betroffenheit

• Wazuh-Versionen vor 4.7.2
• Wazuh-Agents vor 4.7.2

Auswirkungen und Gegenmaßnahmen

Die Schwachstelle ermöglicht das unautorisierte Schreiben beliebiger Strings in die hosts.deny-Datei durch das host_deny-Skript. Da dieses Skript normalerweise dazu dient, IP-Adressen zu dieser Datei hinzuzufügen, um eingehende Verbindungen auf Dienstebene zu blockieren, kann die Schwachstelle zur Ausführung willkürlicher Befehle ausgenutzt werden, wenn die spawn-Direktive missbraucht wird. Die Möglichkeit der lokalen (LPE) und der Remote-Befehlsausführung (RCE) als Benutzer “root” stellt ein hohes Risiko dar.

Um das Risiko aus der Schwachstelle zu minimieren, empfehlen wir folgende Gegenmaßnahmen:

• • Update auf Wazuh Version 4.7.2 oder höher (behebt RCE)
  • Update der Agenten auf die aktuelle Version 4.7.2 oder höher (behebt LPE)
  • Überprüfung der Systemlogs auf Anzeichen einer Ausnutzung (Suche nach host_deny und host.deny)

IOCs / Rules

Keine spezifischen IOCs veröffentlicht, da bisher keine aktiven Ausnutzungen bekannt sind. Überwachung der hosts.deny-Datei auf ungewöhnliche Einträge wird empfohlen.

Referenzen

• CVE-Datenbank: CVE-2023-50260
• Wazuh GitHub Sicherheitsberatung: Wazuh GitHub Advisory

‍