CVE-2023-50260: Wazuh host.deny
Zusammenfassung
Eine neue Schwachstelle wurde in der Wazuh-Plattform entdeckt, die sowohl lokale als auch entfernte Ausführung von Befehlen (LPE und RCE) durch eine falsche Validierung im host_deny Script ermöglicht. Diese Schwachstelle betrifft die Versionen vor 4.7.2 und wurde unter der CVE-ID CVE-2023-50260 registriert.
Timeline
Schwachstelle entdeckt: Datum der Entdeckung nicht öffentlich spezifiziert.
Veröffentlichung der Schwachstelle: 20.04.2024
Schwachstelle behoben in Version >= 4.7.2: Die Korrektur wurde vor der offiziellen Bekanntgabe durchgeführt.
Betroffenheit
Wazuh-Versionen vor 4.7.2
Wazuh-Agents vor 4.7.2
Auswirkungen und Gegenmaßnahmen
Die Schwachstelle ermöglicht das unautorisierte Schreiben beliebiger Strings in die hosts.deny-Datei durch das host_deny-Skript. Da dieses Skript normalerweise dazu dient, IP-Adressen zu dieser Datei hinzuzufügen, um eingehende Verbindungen auf Dienstebene zu blockieren, kann die Schwachstelle zur Ausführung willkürlicher Befehle ausgenutzt werden, wenn die spawn-Direktive missbraucht wird. Die Möglichkeit der lokalen (LPE) und der Remote-Befehlsausführung (RCE) als Benutzer “root” stellt ein hohes Risiko dar.
Um das Risiko aus der Schwachstelle zu minimieren, empfehlen wir folgende Gegenmaßnahmen:
Update auf Wazuh Version 4.7.2 oder höher (behebt RCE)
Update der Agenten auf die aktuelle Version 4.7.2 oder höher (behebt LPE)
Überprüfung der Systemlogs auf Anzeichen einer Ausnutzung (Suche nach host_deny und host.deny)
IOCs / Rules
Keine spezifischen IOCs veröffentlicht, da bisher keine aktiven Ausnutzungen bekannt sind. Überwachung der hosts.deny-Datei auf ungewöhnliche Einträge wird empfohlen.
Referenzen
CVE-Datenbank: CVE-2023-50260
Wazuh GitHub Sicherheitsberatung: Wazuh GitHub Advisory
Falls Ihnen dieser Blogpost gefallen hat - iSecNG bietet verschiedene Managed und Professional Services im Bereich Defensive- und Offensive-Security. Weitere Informationen finden Sie auf unserer Service-Seite.
23.04.2024, Dominik Sigl