Wazuh には、クラスタプロトコルファイル書き込みによる権限昇格の脆弱性が存在する

この脆弱性は、攻撃者がWazuh Managerのファイルシステムへの書き込み権限を取得することを可能にします。具体的には、wazuhユーザーはマネージャーのメイン設定ファイル(/var/ossec/etc/ossec.conf)への書き込みアクセス権を持っており、攻撃者はクラスタプロトコルを悪用してこのファイルを上書きすることで、システムの設定を改ざんし、管理者権限を奪取する可能性があります。これにより、機密情報の窃取、システムへの不正アクセス、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。この脆弱性の悪用は、Log4Shellのようなサプライチェーン攻撃のパターンと類似しており、広範囲に影響を及ぼす可能性があります。

Organizations utilizing Wazuh Manager versions 3.9.0 through 4.14.2 are at risk. This includes those relying on Wazuh for security monitoring and incident response, particularly those with exposed cluster synchronization interfaces or inadequate network segmentation. Shared hosting environments running Wazuh Manager are also at increased risk due to potential shared access to the Wazuh cluster.

• linux / server:

journalctl -u wazuh-clusterd | grep -i "write access"

• linux / server:

find /var/ossec/etc/ossec.conf -type f -mmin -60 # Check for recent modifications

• linux / server:

lsof -i :1567 -p $(pidof wazuh-clusterd) # Check for connections to the cluster protocol

1. 2026-03-17Disclosure

   disclosure

1. 予約済み2026-02-05
2. 公開日2026-03-17
3. 更新日2026-03-18
4. EPSS 更新日2026-03-25

この脆弱性への対応策として、Wazuh Managerをバージョン4.14.3にアップデートすることが推奨されます。アップデートがシステムに影響を与える可能性がある場合は、事前にバックアップを取得し、テスト環境でアップデートを検証してください。WAFやプロキシサーバーを使用している場合は、wazuh-clusterdサービスへの不正なアクセスを検知・遮断するルールを設定することを検討してください。また、ossec.confファイルへのアクセス権を制限するなどの設定変更も有効です。アップデート後、ossec-control restartコマンドを実行し、設定を再読み込みすることで、修正が適用されていることを確認してください。