Wer Wazuh als SIEM- oder Monitoring-Plattform im Cluster-Betrieb einsetzt, sollte umgehend handeln. In der Funktion decompress_files() werden Dateipfade aus empfangenen Sync-Archiven ungefiltert an os.path.join() übergeben – ein klassischer Path-Traversal-Fehler. Ein authentifizierter Cluster-Peer kann dadurch Dateien an beliebige Stellen im Dateisystem schreiben, etwa Python-Module überschreiben, die Wazuh selbst lädt, und so Code im Kontext des Wazuh-Dienstes ausführen. In Docker-Umgebungen, wo der Daemon häufig als root läuft, ist eine vollständige Systemkompromittierung möglich – inklusive Cron-Jobs, SSH-Keys und mehr. Ein funktionierender Proof-of-Concept ist öffentlich verfügbar, was die Dringlichkeit weiter erhöht.
Betroffen sind alle Wazuh-Manager-Installationen ab Version 4.4.0. Die gepatchte Version ist 4.14.4. Wer prüfen möchte, ob er betroffen ist: wazuh-manager --version in der Shell genügt. Läuft der Cluster-Modus gar nicht (nur Standalone-Deployment ohne Worker-Nodes), ist das Angriffsszenario deutlich eingeschränkt – aber das Updaten bleibt trotzdem geboten.
Die Maßnahme ist klar: Update auf 4.14.4 oder neuer. Wer nicht sofort patchen kann, sollte den Cluster-Port (Standard: 1516/TCP) durch Firewall-Regeln auf bekannte Peer-IPs beschränken und sicherstellen, dass der Cluster-Key nicht kompromittiert ist. Den laufenden Nutzer des Wazuh-Daemons auf einen nicht-root-Account zu begrenzen reduziert den potenziellen Schaden erheblich.
Details und Advisory: https://github.com/advisories/GHSA-m8rw-v4f6-8787
