В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в платформе мониторинга безопасности Wazuh. Идентификатор уязвимости - BDU:2026-03319, ей также присвоен идентификатор CVE-2026-25769. Проблема затрагивает все версии программного обеспечения до 4.14.3 и, по данным экспертов, уже эксплуатируется злоумышленниками.
Детали уязвимости
Уязвимость кроется в функции "as_wazuh_object()", отвечающей за десериализацию данных. Недостаточная проверка входной информации в этом механизме приводит к опасному классу уязвимостей, известному как десериализация ненадёжных данных (CWE-502). В результате удалённый злоумышленник, имеющий права администратора в системе (PR:H), может отправить специально сформированный запрос к API-интерфейсу дистрибутивного агента (DAPI). Успешная атака позволяет выполнить произвольный код на целевой системе с максимальными привилегиями пользователя root.
Уровень опасности этой уязвимости оценивается как критический. Базовый балл по шкале CVSS 3.1 достигает 9.1, что подчёркивает высокий потенциал для полного компрометирования инфраструктуры. Основной вектор атаки (AV:N) предполагает эксплуатацию через сеть без необходимости сложной предварительной настройки (AC:L) и с критическим воздействием на конфиденциальность, целостность и доступность данных (C:H/I:H/A:H). Более того, уязвимость затрагивает другие компоненты безопасности (S:C), что может привести к цепной реакции и заражению смежных систем.
Производитель, Wazuh Inc., уже подтвердил наличие проблемы и выпустил исправление. Уязвимость полностью устранена в версии 4.14.3 платформы. Следовательно, главной рекомендацией для всех пользователей является немедленное обновление программного обеспечения до актуальной версии. Информация об обновлениях и соответствующие патчи опубликованы на официальной странице проекта на GitHub.
Между тем, важно отметить, что, согласно информации из BDU, эксплойты для данной уязвимости уже существуют в открытом доступе. Это значительно повышает риски, так как снижает порог входа для киберпреступников. Следовательно, окно для принятия защитных мер крайне ограничено.
Для организаций, которые по техническим или иным причинам не могут мгновенно применить обновление, существует набор компенсирующих мер. Прежде всего, специалисты рекомендуют ограничить удалённый доступ к интерфейсам управления Wazuh. Конкретно, следует заблокировать входящие соединения на 1516-м сетевом порту, который используется DAPI, с помощью правил межсетевого экрана. Дополнительно, эффективной практикой является сегментация сети, которая изолирует систему мониторинга от недоверенных зон, включая интернет.
Кроме того, для обнаружения потенциальных инцидентов следует задействовать возможности системы управления событиями и информационной безопасностью (SIEM). Мониторинг необычной активности, связанной с выполнением команд с правами root, может помочь выявить попытку атаки. Также стандартной рекомендацией остаётся принцип минимальных привилегий, своевременное отключение неиспользуемых учётных записей и регулярный аудит доступа.
Обнаружение этой уязвимости подчёркивает постоянную необходимость тщательного тестирования таких критических компонентов, как механизмы десериализации, которые часто становятся мишенью для атак. Wazuh, будучи популярной открытой платформой для защиты конечных точек (XDR) и обнаружения инцидентов (IDS), широко используется в корпоративных средах. Поэтому её компрометация может иметь масштабные последствия. Системные администраторы и команды безопасности (SOC) должны отнестись к данной угрозе с максимальной серьёзностью и принять все доступные меры для защиты своей инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2026-03319
- https://www.cve.org/CVERecord?id=CVE-2026-25769
- https://github.com/wazuh/wazuh/releases
- https://github.com/wazuh/wazuh/security/advisories/GHSA-3gm7-962f-fxw5
