CVE-2023-50260: Wazuh host.deny

Dominik Sigl 6. September 2024 Vulnerabilities 5 Minuten Lesezeit

Zusammenfassung

Eine Schwachstelle in Wazuh erlaubt die nicht autorisierte Ausführung von Befehlen durch unzureichende Validierung im host_deny-Script. Der Fehler betrifft alle Versionen vor 4.7.2 und ermöglicht sowohl lokale als auch remote Code-Ausführung als Root-Benutzer.

Betroffene Systeme

  • Wazuh-Versionen vor 4.7.2
  • Wazuh-Agents vor 4.7.2

Schwachstelle

Die Lücke erlaubt das „unauthenticated writing of arbitrary strings into the hosts.deny file through the host_deny script". Angreifer können die spawn-Direktive ausnutzen, um beliebige Befehle mit Root-Rechten auszuführen. Daraus resultieren sowohl Local Privilege Escalation (LPE) als auch Remote Code Execution (RCE)-Risiken.

Empfohlene Maßnahmen

  1. Upgrade auf Wazuh 4.7.2 oder höher
  2. Alle Agents auf Version 4.7.2+ aktualisieren
  3. Systemlogs auf verdächtige host_deny- oder hosts.deny-Aktivitäten prüfen

Indikatoren und Erkennung

Keine spezifischen IOCs veröffentlicht; keine aktiven Exploits bekannt. Monitoring der hosts.deny-Datei auf ungewöhnliche Einträge wird empfohlen.

Referenzen

Machen Sie schon heute den ersten Schritt

Unser Managed Detection & Response Service schützt Ihr Unternehmen unkompliziert vor Bedrohungen.

Kontaktanfrage Terminanfrage
✉ Anfragen