CVE-2025-24016 (CVSS 9.9): Critical RCE Vulnerability Discovered in Wazuh Server
2025/02/11 SecurityOnline — OSS セキュリティ・ ソリューションの大手プロバイダー Wazuh が発行したのは、同社のプラットフォームに影響を及ぼす、リモート・コード実行の脆弱性に関する重要なセキュリティ・アドバイザリである。この脆弱性 CVE-2025-24016 (CVSS:9.9) の悪用に成功した攻撃者は、脆弱な Wazuh サーバの完全な制御を奪う機会を手にする。
Wazuh のプラットフォームは、脅威に関する防止/検出/対応で広く使用されており、包括的なセキュリティ機能スイートとして、ログ分析/侵入検知/ファイル整合性監視/脆弱性評価などを内包している。
このアドバイザリによると、脆弱性 CVE-2025-24016 は、Wazuh サーバ API の安全が確保されないデシリアライゼーションに起因している。この脆弱性を悪用する攻撃者は、特別に細工されたリクエストをサーバに送信することで、任意のコード実行の機会を手にする。
Wazuh のアドバイザリには、「この脆弱性は、API アクセス権を持つ、すべてのユーザーによりトリガーされる可能性がある。なお、それらのユーザーには、侵害されたダッシュボードや、クラスター内の Wazuh サーバも含まれる。また、特定のコンフィグにおいては、侵害されたエージェントからもトリガーされる可能性がある」と述べている。
このアドバイザリでは、Wazuh の API を悪用する攻撃者が、マスター・サーバをシャットダウンする方法を示す、PoC エクスプロイトも提供されている。
以下のコマンドを実行すると、マスター・サーバが強制的に即時シャットダウンされる。この脆弱性の悪用が、デフォルトの認証情報で可能になるという、きわめて簡潔な手順が示されている。
curl -X POST -k -u "wazuh-wui:MyS3cr37P450r.*-" -H "Content-Type: application/json" --data '{"__unhandled_exc__":{"__class__": "exit", "__args__": []}}' https://<worker-server>:55000/security/user/authenticate/run_as
この脆弱性を報告したセキュリティ研究者 DanielFi に対して、Wazuh プロジェクトは謝意を示している。
すでに Wazuh は、バージョン 4.9.1 をリリースし、脆弱性 CVE-2025-24016 に対処している。管理者に対して強く推奨されるのは、ただちに更新を行い、このリスクを軽減することだ。
このアドバイザリでは、サニタイズに頼るのではなく、根本原因を修正することの重要性が強調されている。つまり、”as_wazuh_object” における任意のコード実行の可能性が、他にも存在すると予測されるためである。ユーザー組織にとって必要なことは、API アクセス権限を確認し、エージェント構成を強化することで、Wazuh の悪用を防ぐことである。
OSS セキュリティ・プラットフォームである Wazuh の脆弱性 CVE-2025-24016 が FIX しましたが、この脆弱性の CVSS 値は 9.9 とのことです。PoC が提供されていますので、アップデートを忘れないよう、お気をつけください。よろしければ、カテゴリ _OpenSource も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.