В Банке данных угроз безопасности информации (BDU) зарегистрирована критическая уязвимость в платформе Wazuh, предназначенной для мониторинга безопасности и обнаружения угроз. Проблема получила идентификатор BDU:2026-06165 (CVE-2026-30893) и затрагивает версии с 4.4.0 по 4.14.4 включительно. Для специалистов по защите информации эта новость имеет первостепенное значение. Ведь Wazuh - одно из самых популярных решений с открытым исходным кодом, которое используют для сбора событий, анализа аномалий и реагирования на инциденты. Атака на такой инструмент может подорвать безопасность всей инфраструктуры.
Детали уязвимости
Суть уязвимости заключается в ошибке внутри функции decompress_files(). Она неверно ограничивает путь к каталогу с ограниченным доступом. Говоря проще, злоумышленник может заставить программу обработать файл так, что её исполняемые компоненты окажутся за пределами разрешённой папки. Это классический недостаток, известный как обход пути (CWE-22). Согласно классификатору CWE, этот тип ошибки позволяет атакующему управлять именем или путём файла извне (CWE-73).
Чем это грозит на практике? Если у пользователя есть минимальные привилегии на вход в систему, он может отправить специально сформированный запрос на сервер Wazuh. Функция decompress_files() распакует вредоносный архив, и его содержимое окажется в системной директории. Таким образом, нарушитель получает возможность выполнить произвольный код. Причём удалённо, без физического доступа к серверу. Вектор атаки (AV:N) в терминах CVSS означает сетевой доступ. А сложность атаки низкая (AC:L) - злоумышленнику не нужны особые навыки, достаточно стандартных инструментов.
По версии CVSS 2.0 базовая оценка составляет 9 баллов из 10 - это высокий уровень. По более современной версии CVSS 3.1 оценка достигла 9,9 баллов, что соответствует критическому уровню. Для сравнения: максимальный балл 10 бывает крайне редко. Вектор атаки по CVSS 3.1 выглядит так: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Расшифруем: атака возможна из сети, сложность низкая, требуются лишь минимальные привилегии, взаимодействие пользователя не нужно. При этом последствия затрагивают не только сам сервер, но и всю связанную инфраструктуру (S:C означает, что ущерб выходит за пределы уязвимого компонента). Конфиденциальность, целостность и доступность нарушаются полностью (C:H/I:H/A:H).
Производитель Wazuh, Inc. подтвердил уязвимость и выпустил исправление в версии 4.14.4. Более того, стало известно, что в открытом доступе уже существует готовый эксплойт. Это резко повышает риски для тех, кто не обновился. Способ эксплуатации описан как манипулирование ресурсами: злоумышленник подаёт на вход функции decompress_files() поддельный архив, где имена файлов содержат элементы обхода пути.
Wazuh часто используется как центральный элемент SOC. Компрометация такого сервера означает, что злоумышленник получает доступ ко всем логам, правилам корреляции, агентам и, возможно, к учётным данным, которые хранятся в конфигурациях. Кроме того, через Wazuh можно распространить атаку дальше - например, внедрить вредоносный код на агенты, установленные на других хостах. В результате под ударом оказывается вся инфраструктура, подключённая к платформе.
Специалистам по информационной безопасности следует действовать незамедлительно. В первую очередь необходимо обновить Wazuh до версии 4.14.4 или выше. Производитель уже выпустил патч, и его установка из доверенных источников полностью устраняет уязвимость. Однако в условиях текущих санкционных ограничений рекомендуется перед установкой оценить все сопутствующие риски, особенно если речь идёт о государственных информационных системах.
Если обновление по каким-то причинам невозможно, нужно применить компенсирующие меры. Прежде всего следует ограничить удалённый доступ к серверу Wazuh через межсетевые экраны. Сегментирование сети позволит изолировать уязвимый компонент от остальных критических ресурсов. Кроме того, стоит использовать SIEM-системы (класс программных продуктов для управления событиями ИБ и корреляции данных), чтобы отслеживать попытки эксплуатации. Важно минимизировать пользовательские привилегии: если атакующий не сможет войти в систему даже с минимальными правами, вектор атаки будет менее опасным. Также рекомендуется удалить неиспользуемые учётные записи и ограничить доступ из внешних сетей, включая Интернет.
Важно подчеркнуть, что уязвимость затрагивает не только Wazuh как монолит, но и его компоненты, которые могут быть развёрнуты в контейнерах или на виртуальных машинах. Разработчики уже опубликовали детали на GitHub в виде рекомендаций. Администраторам необходимо проверить, какие версии используются, и применить патч в кратчайшие сроки.
Подводя итог, можно сказать, что выявленная проблема - одна из самых серьёзных для Wazuh за последнее время. Высокий критический рейтинг CVSS 3.1 (9,9), наличие готового эксплойта и возможность удалённой атаки без сложных условий делают её крайне опасной. Организации, использующие Wazuh для мониторинга безопасности, рискуют не только потерять контроль над своей инфраструктурой, но и стать источником дальнейших атак. Поэтому рекомендация одна: обновляться как можно скорее, а до установки патча - изолировать сервер и ограничить привилегии.
Ссылки
- https://bdu.fstec.ru/vul/2026-06165
- https://www.cve.org/CVERecord?id=CVE-2026-30893
- https://github.com/wazuh/wazuh/releases/tag/v4.14.4
- https://github.com/wazuh/wazuh/security/advisories/GHSA-m8rw-v4f6-8787
