Wazuh Manager 5.0に重大なセキュリティ脆弱性が開示されました。この脆弱性を悪用すると、登録済みの任意のエージェントが、サニタイズされていないflatbufferフィールドを通じて任意のOpenSearchバルク操作を密かに送り込むことができます。攻撃者はアラートの削除や法的証拠の破壊、さらにはデプロイ全体にわたるSIEMデータの改ざんを実行できます。
先週、GHSA-ff9g-85jq-r3g3として公開されたこの脆弱性は、CVSS 3.1スコアで最高値の10.0(Critical)を記録しています(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)。認証不要、ユーザー操作不要で、ネットワーク越しに完全に悪用可能です。
この脆弱性は、Wazuh 5.0で新たに導入されたinventory_syncサブシステムに存在します。このコードパスは4.xブランチには存在しません。
エージェントがインベントリデータをWazuh Managerに送信する際、エージェント側が制御するDataValue.index flatbufferフィールドは、エスケープや検証が一切行われないまま、OpenSearchの_bulk NDJSONリクエストボディに直接埋め込まれます。
改行文字や細工されたJSONシーケンスをindexフィールドに埋め込むことで、悪意のある登録済みエージェントはdelete、index、updateといった追加のバルク操作を、マネージャーがOpenSearchインデクサーへ送信するNDJSONペイロードに注入できます。
コードベースにおける非対称性が、この脆弱性をとりわけ明白なものにしています。隣接する_idフィールドはappendEscapedId()によって適切にサニタイズされている一方、indexerConnectorSyncImpl.hpp内のbulkIndexとbulkDeleteの両呼び出し箇所では、_indexがエスケープなしで生のまま追加されています。
inventory_syncおよびindexer_connectorのコードパス全体を通じて、validateIndexName関数や文字セットチェックは一切存在せず、CWE-74(インジェクション)、CWE-93(CRLFインジェクション)、CWE-863(不正な認可)に該当します。
注入された操作は、Wazuh ManagerのOpenSearch認証情報を使用して実行されます。
公開されているwazuh-dockerのシングルノードcomposeを含む、すべての同梱インストールテンプレートにおいて、これらの認証情報はall_accessロールを持つadminアカウントに解決されます。これにより、単純なインジェクションバグがクラスター管理者レベルのプリミティブへと変貌します。
攻撃に成功した攻撃者は、侵害後のクリーンアップおよび証拠隠滅を目的としてwazuh-alerts-*インデックスでの任意のアラート削除を実行できるほか、監視対象の他エージェントのインベントリや脆弱性状態を上書きしたり、.kibana_1の保存オブジェクトに永続的なペイロードを書き込んだりすることも可能です。
デフォルトでは、Wazuhはwazuh-authdの設定でuse_password=noおよびssl_verify_host=noを使用しています。つまり、悪用の前提条件はTCP/1515経由の匿名SSLエンロールメントのみです。
完全な攻撃チェーンは、TCP/1514上の標準的なremoted AESプロトコルのみを使用して完結し、ローカルアクセスは一切不要です。
vikman90が公開した動作するエンドツーエンドのPythonプルーフオブコンセプト(18-cve-f-remoted-aes.py)は、匿名でエンロールし、AES-256-CBCセッションキーを導出し、細工されたDataValue flatbufferを構築したうえで、10秒以内に対象インデックスに対するドキュメント削除を確認するものです。
シンク分離ハーネス(15-cve-f-sink-harness.cpp)は、bulkIndexレベルでのNDJSONインジェクションを独立して再現し、より広範なPoC足場から切り離した形で脆弱性を実証します。
この脆弱性はWazuh-manager >= 5.0.0-beta1に影響します。inventory_syncサブシステムが存在しないため、Wazuh 4.xは影響を受けません。本問題はWazuh-manager 5.0.0-beta3でパッチが適用されています。
Wazuh 5.0ベータを運用している組織は、直ちに5.0.0-beta3へアップグレードしてください。Wazuhセキュリティチームは3段階の多層的な修正適用を推奨しています。
本稿公開時点では、この脆弱性にCVE識別子は割り当てられていません。
翻訳元: https://cyberpress.org/critical-wazuh-flaw/
