Wazuh présente une élévation de privilèges vers Root via l'écriture de fichier de protocole de cluster
Plateforme
linux
Composant
wazuh
Corrigé dans
3.9.1
Une vulnérabilité d'escalade de privilèges a été découverte dans Wazuh Manager, une plateforme open source de détection et de réponse aux menaces. Cette faille, présente dans les versions 3.9.0 et antérieures à 4.14.3, permet à des nœuds authentifiés d'écrire des fichiers arbitraires sur le système de fichiers du gestionnaire avec les permissions de l'utilisateur système wazuh. Une correction est disponible dans la version 4.14.3.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité permet à un attaquant de compromettre le serveur Wazuh Manager et d'obtenir un contrôle total sur le système. En raison des permissions d'écriture accordées à l'utilisateur wazuh sur le fichier de configuration principal (/var/ossec/etc/ossec.conf), un attaquant peut modifier la configuration du système, désactiver les règles de détection, installer des portes dérobées ou exécuter des commandes arbitraires avec les privilèges root. Cela pourrait conduire à une compromission complète de l'environnement de sécurité surveillé par Wazuh, permettant un accès non autorisé aux données sensibles et une propagation latérale au sein du réseau. Cette vulnérabilité présente un risque élevé car elle permet une prise de contrôle complète du système.
Contexte d'Exploitation
Cette vulnérabilité a été publiée le 17 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la sévérité critique (CVSS 9.1) suggère un risque élevé. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger, augmentant le risque d'exploitation.
Qui Est à Risquetraduction en cours…
Organizations utilizing Wazuh Manager versions 3.9.0 through 4.14.2 are at risk. This includes those relying on Wazuh for security monitoring and incident response, particularly those with exposed cluster synchronization interfaces or inadequate network segmentation. Shared hosting environments running Wazuh Manager are also at increased risk due to potential shared access to the Wazuh cluster.
Étapes de Détectiontraduction en cours…
• linux / server:
journalctl -u wazuh-clusterd | grep -i "write access"• linux / server:
find /var/ossec/etc/ossec.conf -type f -mmin -60 # Check for recent modifications• linux / server:
lsof -i :1567 -p $(pidof wazuh-clusterd) # Check for connections to the cluster protocolChronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Élevé — un compte administrateur ou privilégié est requis.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à niveau Wazuh Manager vers la version 4.14.3 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, une solution de contournement temporaire consiste à restreindre les permissions d'écriture sur le fichier /var/ossec/etc/ossec.conf pour empêcher les modifications non autorisées. Il est également recommandé de surveiller attentivement les journaux du système pour détecter toute activité suspecte liée au processus wazuh-clusterd. En cas de suspicion d'exploitation, isolez immédiatement le serveur affecté et effectuez une analyse approfondie de la sécurité. Après la mise à niveau, vérifiez l'intégrité du fichier de configuration ossec.conf pour vous assurer qu'il n'a pas été modifié.
Comment corriger
Mettez à jour Wazuh Manager à la version 4.14.3 ou supérieure. Cela corrige la vulnérabilité d'élévation de privilèges dans le protocole de synchronisation du cluster.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentestraduction en cours…
What is CVE-2026-25770 — Privilege Escalation in Wazuh Manager?
CVE-2026-25770 is a critical vulnerability in Wazuh Manager versions 3.9.0 to 4.14.2, allowing authenticated nodes to overwrite configuration files, potentially leading to privilege escalation.
Am I affected by CVE-2026-25770 in Wazuh Manager?
If you are running Wazuh Manager version 3.9.0 or later, and before version 4.14.3, you are potentially affected by this vulnerability.
How do I fix CVE-2026-25770 in Wazuh Manager?
Upgrade Wazuh Manager to version 4.14.3 or later to remediate the vulnerability. Consider temporary access restrictions as an interim measure.
Is CVE-2026-25770 being actively exploited?
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to become a target.
Where can I find the official Wazuh advisory for CVE-2026-25770?
Refer to the official Wazuh security advisory for detailed information and updates: [https://www.wazuh.com/security-advisories/](https://www.wazuh.com/security-advisories/)
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.