CVE-2023-50260: Wazuh host.deny

Dominik Sigl

5 Minuten

Zusammenfassung

Eine neue Schwachstelle wurde in der Wazuh-Plattform entdeckt, die sowohl lokale als auch entfernte Ausführung von Befehlen (LPE und RCE) durch eine falsche Validierung im host_deny Script ermöglicht. Diese Schwachstelle betrifft die Versionen vor 4.7.2 und wurde unter der CVE-ID CVE-2023-50260 registriert.

Timeline

  • Schwachstelle entdeckt: Datum der Entdeckung nicht öffentlich spezifiziert.
  • Veröffentlichung der Schwachstelle: 20.04.2024
  • Schwachstelle behoben in Version >= 4.7.2: Die Korrektur wurde vor der offiziellen Bekanntgabe durchgeführt.

Betroffenheit

  • Wazuh-Versionen vor 4.7.2
  • Wazuh-Agents vor 4.7.2

Auswirkungen und Gegenmaßnahmen

Die Schwachstelle ermöglicht das unautorisierte Schreiben beliebiger Strings in die hosts.deny-Datei durch das host_deny-Skript. Da dieses Skript normalerweise dazu dient, IP-Adressen zu dieser Datei hinzuzufügen, um eingehende Verbindungen auf Dienstebene zu blockieren, kann die Schwachstelle zur Ausführung willkürlicher Befehle ausgenutzt werden, wenn die spawn-Direktive missbraucht wird. Die Möglichkeit der lokalen (LPE) und der Remote-Befehlsausführung (RCE) als Benutzer “root” stellt ein hohes Risiko dar.

Um das Risiko aus der Schwachstelle zu minimieren, empfehlen wir folgende Gegenmaßnahmen:

    • Update auf Wazuh Version 4.7.2 oder höher (behebt RCE)
    • Update der Agenten auf die aktuelle Version 4.7.2 oder höher (behebt LPE)
    • Überprüfung der Systemlogs auf Anzeichen einer Ausnutzung (Suche nach host_deny und host.deny)

IOCs / Rules

Keine spezifischen IOCs veröffentlicht, da bisher keine aktiven Ausnutzungen bekannt sind. Überwachung der hosts.deny-Datei auf ungewöhnliche Einträge wird empfohlen.

Referenzen

Machen Sie schon heute den ersten Schritt

Unser Managed Detection & Response Service schützt Ihr Unternehmen unkompliziert vor Bedrohungen.

Per E-Mail anfragen

Termin anfragen