CVE-2025-24016

Wazuh Wazuh Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-06-10

Официальное описание

Wazuh contains a deserialization of untrusted data vulnerability that allows for remote code execution on Wazuh servers.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-24016 представляет собой критическую уязвимость в компоненте Wazuh Server, связанную с небезопасной десериализацией данных (Deserialization of untrusted data).

Проблема возникает при обработке специально сформированных сообщений, поступающих на сетевые интерфейсы сервера. Злоумышленник может передать вредоносный сериализованный объект, который при десериализации на стороне сервера приведет к выполнению произвольного кода (RCE) с привилегиями процесса Wazuh. Уязвимость позволяет полностью скомпрометировать сервер мониторинга без необходимости предварительной аутентификации.

Как исправить

Основным способом устранения уязвимости является обновление Wazuh Manager до версии, в которой исправлены механизмы обработки входящих данных.

  1. Обновите списки пакетов в системе:
apt-get update
  1. Установите последнюю доступную версию Wazuh Manager (4.10.1 или выше):
apt-get install --only-upgrade wazuh-manager
  1. Перезапустите сервис для применения изменений:
systemctl restart wazuh-manager
  1. Проверьте текущую версию, чтобы убедиться в успешном обновлении:
/var/ossec/bin/wazuh-control info

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и ограничить доступ к серверу.

  1. Ограничьте доступ к портам Wazuh Manager (по умолчанию 1514/TCP, 1515/TCP, 55000/TCP) с помощью межсетевого экрана, разрешив подключения только от доверенных IP-адресов агентов:
iptables -A INPUT -p tcp --dport 1514 -s <TRUSTED_IP_RANGE> -j ACCEPT
iptables -A INPUT -p tcp --dport 1514 -j DROP
  1. Включите и настройте проверку сертификатов (Client Certificate Authentication) для агентов, чтобы предотвратить отправку данных от неавторизованных источников. Отредактируйте секцию <remote> в файле /var/ossec/etc/ossec.conf:
<remote>
  <connection>secure</connection>
  <port>1514</port>
  <protocol>tcp</protocol>
  <ssl_verify_host>yes</ssl_verify_host>
  <ssl_ca_file>/var/ossec/etc/root_ca.crt</ssl_ca_file>
  <ssl_cert>/var/ossec/etc/manager.crt</ssl_cert>
  <ssl_key>/var/ossec/etc/manager.key</ssl_key>
</remote>
  1. Настройте систему обнаружения вторжений (IDS/IPS) на уровне сети для поиска паттернов, характерных для эксплойтов десериализации в трафике, направленном на порты Wazuh.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей