网络安全研究人员披露了一个严重的远程代码执行漏洞(CVE-2025-24016),该漏洞影响到 Wazuh—— 一个广泛使用的开源安全信息与事件管理(SIEM)平台。
此漏洞的通用漏洞评分系统(CVSS)评分为 9.9,属于严重级别。它影响 4.4.0 版本至 4.9.0 版本,使得拥有应用程序编程接口(API)访问权限的攻击者能够在 Wazuh 服务器上执行任意 Python 代码。
该漏洞源于分布式应用程序编程接口(DAPI)组件中的不安全反序列化操作。在该组件中,参数被序列化为 JSON 格式,随后使用位于 framework/wazuh/core/cluster/common.py 中的 as_wazuh_object 函数进行反序列化。
这个函数存在一个严重的安全缺陷,当处理恶意构造的 JSON 负载时,它允许执行任意代码。
根据 CVE 报告,攻击者可以通过构造一个包含带有__unhandled_exc__键的字典的恶意 JSON 负载来利用此漏洞。
当由存在漏洞的 as_wazuh_object 函数处理时,此负载会在服务器上执行命令 “touch /tmp/pwned”。
该漏洞的概述如下:
风险因素详情
受影响产品 Wazuh(4.4.0 版本至 4.9.0 版本)
影响 以系统级权限进行远程代码执行
利用前提 对 Wazuh 服务器的 API 访问权限
CVSS 3.1 评分 9.9(严重)
Poc漏洞利用
已经发布了一个概念验证漏洞利用代码,展示了攻击者如何使用简单的 curl 命令通过 run_as 端点触发该漏洞:
此漏洞让人联想到臭名昭著的 2017 年导致美国 Equifax 公司数据泄露事件的 Apache Struts 反序列化漏洞(CVE-2017-5638),不过此漏洞需要 API 访问权限,而不是任意 HTTP 请求。
缓解措施
由于 Wazuh 服务器通常是一个组织安全基础设施的核心组件,因此这个漏洞的影响很大。
成功利用该漏洞将使攻击者能够以 Wazuh 服务的权限执行任意代码,这可能导致数据被盗、服务中断或在网络中横向移动。
Wazuh 已在 4.9.1 版本中修复了此漏洞,方法是用安全的 ast.literal_eval () 函数替换了不安全的 eval () 函数,ast.literal_eval () 函数可以安全地计算包含 Python 字面值的字符串,而不会执行任意代码。
安全专家敦促运行受影响的 Wazuh 版本的组织立即进行更新。
比利时网络安全中心警告称:“这是一个关键漏洞,应予以最高优先级处理。”
对于无法立即进行更新的组织,专家建议实施网络分段、限制 API 访问权限、监控 API 流量以发现可疑活动,并使用 Web 应用防火墙(WAF)来检测和阻止恶意请求。
发表评论
您还未登录,请先登录。
登录