شناسه CVE-2026-25770 :CVE
CWE-22, CWE-269, CWE-732 :CWE
yes :Advisory
منتشر شده: مارس 17, 2026
به روز شده: مارس 17, 2026
امتیاز: 9.1
نوع حمله: Path Traversal

اثر گذاری: Privilege Escalation
حوزه: نرم افزارهای شبکه و امنیت
برند: wazuh
محصول: wazuh
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در پروتکل همگام‌سازی کلاستر Wazuh به مهاجم دارای دسترسی معتبر کلاستر اجازه می‌دهد فایل‌های دلخواه را با سطح دسترسی کاربر wazuh روی سیستم مدیر(Manager) بنویسد. به‌دلیل پیکربندی نادرست مجوزها، مهاجم می‌تواند فایل حیاتی ossec.conf را بازنویسی کرده و یک بلوک <localfile> مخرب در آن تزریق کند. این تغییر باعث می‌شود سرویس wazuh-logcollector که با دسترسی root اجرا می‌شود، فرمان تزریق‌شده مهاجم را تفسیر و اجرا کند. نتیجه این زنجیره، دستیابی مهاجم به اجرای کد با سطح دسترسی کامل (Root RCE) است.

توضیحات

آسیب‌پذیری CVE-2026-25770 ناشی از چند ضعف ساختاری در نحوه کنترل مجوزها، مدیریت مسیر فایل‌ها (Path Traversal) و مدل امنیتی پروتکل کلاستر Wazuh است. این ضعف امنیتی بر اساس محدود نکردن مسیر به دایرکتوری مجاز مطابق با CWE-22، مدیریت نادرست سطح دسترسی‌ها مطابق با CWE‑269 و تخصیص نادرست مجوز به منابع حساس مطابق با CWE‑732 طبقه بندی می‌شود.

در معماری Wazuh، پروتکل همگام‌سازی کلاستر از طریق سرویس wazuh-clusterd و روی پورت TCP/1516 وظیفه همگام‌سازی فایل‌ها بین Nodeها را بر عهده دارد. با وجود اینکه این سرویس با سطح دسترسی محدود کاربر wazuh اجرا می‌شود، در پیاده‌سازی فعلی، عدم اعتبارسنجی دقیق روی مسیرهای دریافتی باعث می‌شود تا مسیر مقصد مستقیماً به common.WAZUH_PATH الحاق شده و فایل با مجوز نوشتن باز شود. این ریسک امنیتی به مهاجم اجازه می‌دهد تا فایل‌هایی نظیر /etc/ossec.conf یا سایر فایل‌های حساس خارج از محدوده مجاز را بازنویسی کند.

همزمان، به دلیل تنظیمات پیش‌فرض نادرست، فایل پیکربندی حساس /var/ossec/etc/ossec.conf با مجوزهای گروه write (rw-rw—- root:wazuh) ایجاد می‌شود. از آنجا که سرویس wazuh-logcollector این فایل را با سطح دسترسی root پردازش می‌کند، مهاجم می‌تواند با سوءاستفاده از صلاحیت‌های اجرایی سرویس wazuh-clusterd و تزریق یک بلوک مخرب <localfile> در فایل ossec.conf، دستورات دلخواه خود را با سطح دسترسی root اجرا کند.

پس از جایگزینی فایل پیکربندی، سرویس wazuh-logcollector در هنگام بارگذاری مجدد یا اجرای دوره‌ای خود، تنظیمات تزریق‌شده را تفسیر کرده و دستور مهاجم را به‌صورت مستقیم و با سطح دسترسی root اجرا می‌کند. این دستورات می‌تواند شامل اجرای شل معکوس، دانلود و اجرای بدافزار، تغییر فایل‌های سیستمی یا هر دستور مخرب دیگری باشد.

این فرآیند قابل خودکارسازی است: مهاجم می‌تواند از طریق یک اسکریپت Python که پروتکل کلاستر Wazuh را پیاده‌سازی می‌کند، فایل مخرب را در قالب یک بسته file_upd ارسال کند. تنها پیش‌نیاز، در اختیار داشتن کلید کلاستر (Cluster Key) است؛ که می‌تواند از طریق نفوذ به یکی از nodeها، دسترسی به نسخه پشتیبان یا افشای داخلی به دست آید. حمله کاملاً از راه دور و بدون نیاز به تعامل کاربر انجام می‌شود و ماهیت آن ترکیبی از نوشتن فایل دلخواه و افزایش دسترسی است.

در همین راستا، کد اثبات مفهومی (PoC) منتشرشده برای این آسیب‌پذیری به‌وضوح نشان می‌دهد که چگونه مهاجم با بهره‌گیری از ضعف ذکر شده در پروتکل کلاستر و دستکاری مسیرها، موفق به بازنویسی فایل ossec.conf و در نهایت اجرای فرمان دلخواه با سطح دسترسی root و افزایش سطح دسترسی (Privilege Escalation) در سیستم هدف می‌شود. پیامدهای این آسیب‌پذیری شامل نقض کامل محرمانگی با امکان دسترسی مهاجم به کل سیستم، نقض یکپارچگی با امکان تغییر فایل‌ها و پیکربندی‌های حساس، اختلال شدید در دسترس‌پذیری است. این آسیب‌پذیری با انتشار نسخه 4.14.3 پچ شده است.

CVSS

Score	Severity	Version	Vector String
9.1	CRITICAL	3.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions	Product
affected at >= 3.9.0, < 4.14.3	wazuh

لیست محصولات بروز شده

Versions	Product
>= 4.14.3	wazuh

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که wazuh را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
915	site:.ir “wazuh”	wazuh

نتیجه گیری

این آسیب‌پذیری بحرانی در معماری Wazuh به مهاجمی که دارای کلید معتبر کلاستر است اجازه می‌دهد با نوشتن فایل‌های دلخواه در مسیرهای حساس، پیکربندی فایل ossec.conf را بازنویسی کند. سپس سرویس دارای دسترسی root یعنی wazuh‑logcollector این پیکربندی آلوده را بارگذاری کرده و اسکریپت یا کد تعریف‌شده توسط مهاجم را اجرا می‌کند. در نتیجه، مهاجم قادر خواهد بود کد دلخواه خود را با سطح دسترسی root اجرا کرده و مرز امنیتی بین برنامه و سیستم‌عامل را به‌طور کامل نقض کند. برای جلوگیری از بهره‌برداری، اقدامات زیر ضروری است:

به‌روزرسانی: ارتقا فوری به نسخه 14.3 اصلی‌ترین و قطعی‌ترین راهکار برای رفع این ضعف است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل دارند و به کاهش ریسک این ضعف و حملات مشابه کمک می‌کنند.
ایمن‌سازی مجوزهای فایل: فایل conf باید فقط توسط کاربر root قابل نوشتن باشد. تنظیم مجوز روی 640 و مالکیت root:wazuh توصیه می‌شود.
تقویت سرویس کلاستر: اعمال مکانیزم Allowlist مسیرهای مجاز ( در صورت امکان، جداسازی محیط اجرای daemon) ضروری است تا wazuh‑clusterd فقط در مسیرهای معتبر قادر به نوشتن باشد.
محدودسازی سطح دسترسی شبکه: دسترسی به پورت 1516 را با فایروال اپلیکیشن وب (WAF) یا فایروال شبکه محدود کنید تا فقط nodeهای معتبر کلاستر مجاز به برقراری ارتباط باشند.
مانیتورینگ و ثبت لاگ: لاگ‌های مرتبط با file_upd و new_file باید مانیتور شوند تا تلاش‌های غیرعادی برای همگام‌سازی فایل‌ها قابل شناسایی باشد.
کنترل دسترسی به کلید کلاستر: کلید باید به‌صورت ایمن ذخیره شده و دسترسی به آن تنها برای nodeهای معتبر امکان‌پذیر باشد.

اجرای این راهکارها، به‌ویژه به‌روزرسانی فوری و ایمن‌سازی مجوز فایل‌ها، به‌طور قابل‌توجی احتمال سوءاستفاده از این آسیب‌پذیری را کاهش می‌دهد.

امکان استفاده در تاکتیک‌های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)
مهاجم برای دسترسی اولیه نیاز به اعتبارنامه خوشه (Cluster Key) دارد. این اعتبارنامه می‌تواند از طریق به خطر افتادن یک گره ، دسترسی به پشتیبان‌ها، مهندسی اجتماعی، یا سوءاستفاده از سایر آسیب‌پذیری‌ها به دست آید.

Execution (TA0002)
پس از احراز هویت، مهاجم با ارسال بسته file_upd مخرب به سرویس wazuh-clusterd، فایل پیکربندی را بازنویسی کرده و سپس سرویس wazuh-logcollector که با سطح دسترسی root اجرا می‌شود، فرمان تزریق‌شده را اجرا می‌کند.

Persistence (TA0003)
پس از کسب دسترسی root، مهاجم می‌تواند با ایجاد حساب‌های کاربری جدید، نصب بکدور (مانند cron job یا systemd service)، یا تغییر فایل‌های راه‌اندازی سیستم، دسترسی پایدار خود را تضمین کند.

Privilege Escalation (TA0004)
هدف اصلی این آسیب‌پذیری ارتقاء سطح دسترسی است. مهاجم با بهره‌برداری از CVE-2026-25770، از یک کاربر خوشه (با دسترسی محدود) به کاربر ریشه (root) تبدیل می‌شود.

Defense Evasion (TA0005)
مهاجم می‌تواند با پاکسازی لاگ‌های مربوط به اتصالات خوشه، تغییر تاریخچه فایل‌ها، یا مخفی‌سازی پروسه های اجرا شده، از دید مکانیزم‌های دفاعی فرار کند.

Impact (TA0040)
بهره‌برداری موفق از این آسیب‌پذیری منجر به نابودی کامل محرمانگی، یکپارچگی و در دسترس بودن سیستم هدف می‌شود. مهاجم با دسترسی روت می‌تواند هر گونه داده‌ای را مشاهده، تغییر یا حذف کند، سرویس‌های حیاتی را مختل نماید، بدافزار (از جمله باج‌افزار) نصب کرده و از سیستم به عنوان نقطه شروعی برای نفوذ به سایر سیستم‌های شبکه استفاده کند. این امر می‌تواند منجر به نقض قوانین حریم خصوصی، جریمه‌های مالی سنگین و از دست رفتن اعتماد مشتریان و کاربران شود.

منابع

گزارش اثبات آسیب‌پذیری CVE-2026-25770

اطلاعات آسیب‌پذیری

عنوان: افزایش سطح دسترسی ریشه (Root) از طریق پروتکل کلاستر و نوشتن فایل دلخواه
شناسه: CVE-2026-25770
وضعیت مشاوره: Advisory / Patch Available

نمره CVSS تقریبی : CVSS v3.1: 9.1 (Critical)

محصول: Wazuh

محصول / نسخه‌های آسیب‌پذیر

در نسخه‌های زیر (پیش از اعمال پچ امنیتی):

Wazuh Manager نسخه ۳.۹.۰ تا قبل از ۴.۱۴.۳ (شامل ۴.۱۴.۲ و پایین‌تر)
• سیستم‌هایی که سرویس wazuh-clusterd را اجرا می‌کنند
• استقرارهای خوشه‌ای (Cluster Deployments) Wazuh با چندین نود
• سیستم‌هایی که سرویس wazuh-logcollector را با دسترسی ریشه اجرا می‌کنند
• کلیه محیط‌های عملیاتی (Production) که از قابلیت خوشه‌بندی Wazuh استفاده می‌کنند

محیط‌های درگیر

سازمان‌هایی که از Wazuh Manager به عنوان پلتفرم مدیریت اطلاعات امنیتی و رویدادها (SIEM) و نظارت بر یکپارچگی فایل استفاده می‌کنند
• مراکز داده، سازمان‌های دولتی، مؤسسات مالی و ارائه‌دهندگان خدمات مدیریت شده (MSSP)
• محیط‌های ابری و مجازی‌سازی که از معماری خوشه‌ای Wazuh بهره می‌برند
• محیط‌های عملیاتی که به دلیل وجود چندین نود (Node)، سرویس خوشه‌بندی روی آن‌ها فعال است
• کلیه صنایع حیاتی (نظیر انرژی، بهداشت و درمان، مخابرات) که از Wazuh برای تشخیص تهدید استفاده می‌کنند

کامپوننت‌های آسیب‌پذیر

سرویس wazuh-clusterd (پروتکل خوشه‌بندی Wazuh، پورت TCP/1516)
• کلاس Handler در فایل framework/wazuh/core/cluster/common.py
• متد receive_file (خطوط ۶۲۸ تا ۶۴۱) در فایل common.py
• فرآیند wazuh-logcollector (که با سطح دسترسی root اجرا می‌شود)
• فایل پیکربندی اصلی /var/ossec/etc/ossec.conf
• مکانیزم همگام‌سازی فایل در پروتکل خوشه‌بندی Wazuh

ریشه مشکل (Root Cause Analysis)

ریشه اصلی این آسیب‌پذیری به ترکیبی از یک نقص پیمایش مسیر (Path Traversal) با طبقه‌بندی CWE-22 و مجوزهای پیش‌فرض ناایمن در فایل‌های پیکربندی حساس برمی‌گردد. پروتکل همگام‌سازی خوشه (Cluster Synchronization Protocol) که توسط سرویس wazuh-clusterd مدیریت می‌شود، به نودهای احراز هویت‌شده اجازه می‌دهد تا فایل‌های دلخواه را به سیستم فایل مدیر (Manager) ارسال کنند. مشکل اصلی از آنجا ناشی می‌شود که متد receive_file در کلاس Handler، بدون اعتبارسنجی مناسب، مسیر فایل دریافتی از کاربر را مستقیماً با دایرکتوری اصلی Wazuh (common.WAZUH_PATH) الحاق (Concatenate) کرده و فایل را در آن مسیر باز می‌کند. این کد هیچ بررسی برای جلوگیری از استفاده از کاراکترهای پیمایش مسیر مانند .. / (نقطه-نقطه اسلش) یا هیچ مکانیزم محصورسازی (chroot) اعمال نمی‌کند. در نتیجه، مهاجمی که اعتبارنامه خوشه (Cluster Key) را در اختیار دارد، می‌تواند با ارسال یک درخواست حاوی مسیر نسبی etc/ossec.conf، فایل پیکربندی اصلی Wazuh Manager را بازنویسی کند.

این ضعف از طریق سطح حمله شبکه (پورت ۱۵۱۶) و با داشتن اعتبارنامه خوشه قابل دسترسی است و برای بهره‌برداری موفق، دسترسی مهاجم به شبکه خوشه و داشتن کلید خوشه (Cluster Key) لازم می‌باشد. در سناریوی بهره‌برداری کلی، مهاجم با ارسال یک بسته file_upd حاوی یک فایل پیکربندی مخرب (که در آن یک بلوک <localfile> حاوی فرمان دلخواه تزریق شده است) باعث می‌شود تا فایل ossec.conf اصلی بازنویسی شود. سپس سرویس wazuh-logcollector که با سطح دسترسی ریشه (root) اجرا می‌شود، پیکربندی جدید را بارگذاری کرده و فرمان تزریق‌شده را با بالاترین سطح دسترسی اجرا می‌کند که نهایتاً منجر به افزایش سطح دسترسی (Privilege Escalation) و اجرای کامل کد از راه دور (Remote Code Execution) با دسترسی ریشه می‌گردد.

بخش آسیب‌پذیر

رفتار ناامن سیستم:

قبول و پردازش مسیرهای فایل ارسالی از سوی کاربر (نودهای احراز هویت‌شده) در پروتکل خوشه‌بندی، بدون اعتبارسنجی مناسب و بدون محدود کردن دامنه نوشتن فایل به یک دایرکتوری امن. این رفتار همراه با مجوزهای پیش‌فرض ناایمن که به کاربر سیستمی wazuh اجازه نوشتن در فایل پیکربندی اصلی (ossec.conf) را می‌دهد، زنجیره حمله را کامل می‌کند.

نحوه سوءاستفاده مهاجم:

مهاجم اعتبارنامه خوشه (Cluster Key) را از طریق روش‌هایی مانند به خطر انداختن یک نود کاری (Worker Node) یا دسترسی به پشتیبان‌ها به دست می‌آورد
• مهاجم یک Listener Netcat را روی پورت ۸۰۰۰ (یا هر پورت دلخواه دیگر) روی سیستم خود راه‌اندازی می‌کند
• مهاجم یک فایل پیکربندی مخرب حاوی یک بلوک <localfile> با فرمانی مشخص (برای اتصال مجدد (Reverse Shell)) ایجاد می‌کند
• مهاجم از یک اسکریپت سفارشی (مانند cluster_upload_ossec_debug.py) که پروتکل خوشه Wazuh را پیاده‌سازی می‌کند، استفاده کرده و با استفاده از کلید خوشه به مدیر (Manager) در پورت ۱۵۱۶ احراز هویت می‌کند
• مهاجم یک بسته file_upd حاوی مسیر etc/ossec.conf و محتوای مخرب را ارسال می‌کند
• سرویس wazuh-clusterd در سمت سرور، بدون اعتبارسنجی مسیر، فایل دریافتی را در مسیر /var/ossec/etc/ossec.conf ذخیره می‌کند
• مهاجم منتظر می‌ماند تا سرویس wazuh-logcollector به طور خودکار یا دستی مجدداً بارگذاری شود
• سرویس wazuh-logcollector فایل ossec.conf آلوده را پردازش کرده و فرمان تزریق‌شده را با سطح دسترسی ریشه (root) اجرا می‌کند
• مهاجم یک اتصال شل معکوس (Reverse Shell) با دسترسی ریشه روی سیستم خود دریافت کرده و کنترل کامل سرور Wazuh Manager را به دست می‌گیرد

نقش این آسیب‌پذیری در زنجیره حمله

این آسیب‌پذیری یک نقطه افزایش سطح دسترسی (Privilege Escalation) بسیار قدرتمند در زنجیره حمله محسوب می‌شود که می‌تواند به عنوان نقطه ورود اولیه (Initial Access) نیز عمل کند. با توجه به نمره CVSS ۹.۱ (بحرانی)، ماهیت شبکه‌ای و نیاز به احراز هویت با اعتبارنامه خوشه، مهاجمی که موفق به دستیابی به کلید خوشه شود (مثلاً از طریق به خطر انداختن یک نود کاری یا دسترسی به فایل پشتیبان)، قادر است بدون نیاز به تعامل کاربر، کنترل کامل سرور Wazuh Manager را در دست گیرد. Wazuh Manager به عنوان مغز متفکر پلتفرم امنیتی سازمان عمل می‌کند و تمامی لاگ‌ها، رویدادها، قوانین تشخیص تهدید و پیکربندی‌های امنیتی در آن متمرکز شده است. موفقیت در بهره‌برداری از این آسیب‌پذیری عملاً به معنای نقض کامل محرمانگی (Confidentiality)، یکپارچگی (Integrity) و در دسترس‌بودن (Availability) داده‌های امنیتی سازمان است. مهاجم می‌تواند قوانین تشخیص تهدید را تغییر داده، لاگ‌های حمله خود را پاک کرده، و از Wazuh Manager به عنوان سکوی پرشی برای حرکت جانبی (Lateral Movement) در شبکه سازمانی استفاده نماید. این آسیب‌پذیری اصل کمترین دسترسی (Least Privilege) را نقض کرده و مدل امنیتی فرضی Wazuh را که بر مبنای اعتماد به نودهای خوشه است، به طور کامل دور می‌زند.

پیش‌نیازهای بهره‌برداری (Prerequisites)

دسترسی شبکه مهاجم به پورت ۱۵۱۶ سرویس wazuh-clusterd روی سرور Wazuh Manager
• در اختیار داشتن اعتبارنامه خوشه معتبر (Cluster Key) که برای احراز هویت نودها استفاده می‌شود
• استفاده از نسخه آسیب‌پذیر Wazuh Manager (نسخه‌های ۳.۹.۰ تا ۴.۱۴.۲)
• عدم اعمال پچ امنیتی منتشرشده (نسخه ۴.۱۴.۳ یا بالاتر) روی سیستم هدف
• وجود مجوزهای پیش‌فرض ناایمن روی فایل /var/ossec/etc/ossec.conf که به کاربر wazuh اجازه نوشتن می‌دهد (معمولاً مجوزهای -rw-rw—- root:wazuh)
• اجرا شدن سرویس wazuh-logcollector با سطح دسترسی روت (که به صورت پیش‌فرض است)
• فعال بودن قابلیت خوشه‌بندی (Cluster) در پیکربندی Wazuh Manager

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

پروتکل خوشه‌بندی Wazuh باید نوشتن فایل را تنها به یک دایرکتوری مشخص و ایمن (مانند /var/ossec/var/cluster/incoming) محدود کند (مکانیزم chroot یا allowlist)
• تمامی مسیرهای فایل ارسالی از سوی نودها باید قبل از هرگونه عملیات فایل، به دقت اعتبارسنجی شوند تا از پیمایش مسیر غیرمجاز (Path Traversal) جلوگیری شود
• فایل پیکربندی اصلی /var/ossec/etc/ossec.conf نباید توسط کاربر سیستمی wazuh قابل نوشتن باشد؛ مالکیت آن باید root:wazuh و مجوز آن ۶۴۰ (فقط خواندنی برای گروه) باشد
• سرویس wazuh-clusterd که با کاربر wazuh اجرا می‌شود، هرگز نباید بتواند فایل‌هایی با اهمیت امنیتی مانند ossec.conf را تغییر دهد
• هرگونه تلاش برای نوشتن فایل در مسیرهای حساس باید ثبت (Log) شده و منجر به قطع ارتباط نود خوشه شود
• اصل کمترین دسترسی (Least Privilege) به طور کامل در طراحی و پیاده‌سازی سرویس‌ها رعایت شود
• مستندات امنیتی Wazuh به وضوح نسبت به خطرات پیکربندی پیش‌فرض و نحوه هاردنینگ آن هشدار دهند

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

به‌روزرسانی فوری Wazuh Manager به نسخه ۴.۱۴.۳ یا بالاتر که این آسیب‌پذیری در آن پچ شده است
• در صورت عدم امکان به‌روزرسانی فوری، تغییر دسترسی فایل /var/ossec/etc/ossec.conf به root:wazuh و مجوز ۶۴۰ (فقط خواندنی برای گروه) با استفاده از دستور chown root:wazuh /var/ossec/etc/ossec.conf && chmod 640 /var/ossec/etc/ossec.conf
• محدود کردن دسترسی شبکه به پورت ۱۵۱۶ (سرویس خوشه) تنها به آدرس‌های IP معتبر (نودهای خوشه) با استفاده از فایروال
• قطع دسترسی اینترنت به سرویس خوشه‌بندی در صورت عدم نیاز به ارتباط خارج از شبکه داخلی
• پایش مداوم فایل ossec.conf برای شناسایی تغییرات غیرمجاز با استفاده از سیستم‌های نظارت بر یکپارچگی فایل (FIM)
• غیرفعال کردن موقت قابلیت خوشه‌بندی (Cluster) در صورت عدم نیاز فوری و عدم امکان اعمال سایر اقدامات
• بازنشانی کلیدهای خوشه (Cluster Keys) در صورت مشکوک بودن به افشای آن‌ها

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

انجام اسکن کامل شبکه برای شناسایی تمام نمونه‌های در حال اجرای Wazuh Manager و بررسی نسخه آن‌ها
• پیاده‌سازی مکانیزم‌های تشخیص نفوذ (IDS/IPS) با قوانین اختصاصی برای شناسایی بسته‌های مخرب پروتکل خوشه Wazuh (مانند تلاش برای نوشتن در مسیرهای حساس)
• فعال‌سازی و تقویت لاگ‌برداری تفصیلی از رفتارهای سرویس‌های wazuh-clusterd و wazuh-logcollector و ارسال آن‌ها به سیستم SIEM
• آموزش تیم‌های عملیاتی (Operations) در خصوص خطرات پیکربندی پیش‌فرض Wazuh و نحوه هاردنینیگ آن
• اجرای بازبینی امنیتی بر روی پیکربندی خوشه Wazuh و اطمینان از اعمال اصل کمترین دسترسی در سطح فایل‌ها و سرویس‌ها
• استقرار سیستم‌های هشداردهنده برای شناسایی تلاش‌های مکرر برای احراز هویت ناموفق در سرویس خوشه

اقدامات بلندمدت برای کاهش ریسک:

بازطراحی معماری خوشه Wazuh به گونه‌ای که فرآیند همگام‌سازی فایل‌ها در یک محیط محصور (Sandbox) با کمترین دسترسی انجام شود
• استقرار راهکارهای خودکار به‌روزرسانی امنیتی (Patch Management) برای اعمال سریع وصله‌های امنیتی Wazuh
• افزایش سطح آگاهی تیم‌های توسعه و عملیات در خصوص خطرات Path Traversal و مجوزهای پیش‌فرض ناایمن
• پیاده‌سازی فرآیندهای منظم تست نفوذ (Penetration Testing) و ارزیابی امنیتی برای کشف زودهنگام آسیب‌پذیری‌های مشابه در زیرساخت
• تدوین و اجرای سیاست‌های هاردنینگ برای تمام مؤلفه‌های Wazuh بر اساس راهنمای امنیتی رسمی
• استفاده از ابزارهای تحلیل کد ایستا (SAST) برای شناسایی الگوهای مشابه در کدهای سفارشی (Custom Code) که با APIهای Wazuh تعامل دارند

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

وجود درخواست‌های غیرعادی به سرویس خوشه Wazuh (پورت ۱۵۱۶) حاوی مسیرهای فایل حساس مانند etc/ossec.conf یا الگوهای مسیرگردی مانند .. /
• ثبت خطاهای مرتبط با باز کردن فایل یا عدم تطابق چک‌سام (Checksum) در لاگ‌های wazuh-clusterd
• تغییرات ناگهانی و غیرمنتظره در فایل /var/ossec/etc/ossec.conf (مانند افزوده شدن بلوک‌های <localfile> جدید با فرمان‌های غیرعادی)
• مشاهده فرمان‌های شل غیرمعمول (مانند bash -i, nc, sh -i) در لاگ‌های سرویس wazuh-logcollector
• افزایش ناگهانی ترافیک خروجی شبکه از سمت سرور Wazuh Manager به سمت آدرس‌های IP ناشناس (که حاکی از تلاش برای اتصال مجدد (Reverse Shell) است)
• وجود لاگ‌های احراز هویت موفق از آدرس‌های IP غیرمنتظره در سرویس خوشه
• اجرا شدن فرآیندهای جدید با کاربر روت (root) که ارتباط واضحی با فرآیندهای عادی Wazuh ندارند

منابع پیشنهادی برای مانیتورینگ و پایش:

لاگ‌های سرویس Wazuh Manager (معمولاً در /var/ossec/logs/ossec.log)
• لاگ‌های سیستمی (syslog) برای ردیابی رویدادهای سطح هسته و برنامه
• سیستم‌های SIEM برای جمع‌آوری و تحلیل مرکزی لاگ‌های Wazuh و سایر تجهیزات
• راهکارهای NDR (Network Detection and Response) برای شناسایی ترافیک مشکوک به سمت پورت ۱۵۱۶
• سیستم‌های نظارت بر یکپارچگی فایل (FIM) برای پایش تغییرات فایل ossec.conf و سایر فایل‌های حساس
• ابزارهای مدیریت اطلاعات امنیتی و رویدادها (SIEM) با قابلیت تحلیل رفتار کاربر (UEBA) برای شناسایی الگوهای غیرعامل دسترسی به سرویس خوشه

واکنش به حادثه (Incident Response)

ایزوله‌سازی فوری سرور Wazuh Manager آسیب‌دیده از شبکه جهت جلوگیری از حرکت جانبی مهاجم و پاک کردن رد پا
• جمع‌آوری و حفظ لاگ‌های Wazuh Manager، لاگ‌های سیستمی و ترافیک شبکه مرتبط برای تحلیل فارنزیک (Forensics)
• تغییر تمام کلیدهای خوشه (Cluster Keys) و رمزهای عبور مرتبط با Wazuh
• بازبینی فایل /var/ossec/etc/ossec.conf برای شناسایی بلوک‌های <localfile> مخرب و حذف آن‌ها
• اعمال پچ امنیتی (ارتقا به نسخه ۴.۱۴.۳ یا بالاتر) و اصلاح مجوزهای فایل‌های پیکربندی
• اسکن کامل شبکه برای شناسایی سایر سیستم‌هایی که ممکن است مهاجم از Wazuh Manager به آن‌ها دسترسی یافته باشد
• مستندسازی کامل حادثه (زمان وقوع، نشانه‌ها، اقدامات انجام‌شده، درس‌آموخته‌ها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)

جریان حمله (Attack Flow)

در نمودار زیر (شکل ۱)، جریان کلی بهره‌برداری از این آسیب‌پذیری نشان داده شده است. در این سناریو، مهاجم با داشتن کلید خوشه (Cluster Key)، یک فایل پیکربندی مخرب را از طریق پروتکل خوشه به سرور Wazuh Manager ارسال کرده و فایل اصلی ossec.conf را بازنویسی می‌کند. سپس سرویس wazuh-logcollector که با دسترسی ریشه اجرا می‌شود، فرمان تزریق‌شده را اجرا کرده و یک شل معکوس (Reverse Shell) برای مهاجم ایجاد می‌کند.

شکل 1: جریان اجرای آسیب پذیری

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی Vulnerbyte، این آسیب‌پذیری را در محیط ایزوله و کنترل‌شده با استفاده از نسخه آسیب‌پذیر Wazuh Manager ۴.۱۴.۲ بررسی و اجرا کرده است
• یک اسکریپت سفارشی (بر اساس کد ارائه شده در گیت‌هاب) برای پیاده‌سازی پروتکل خوشه Wazuh نوشته شده است
• اسکریپت با استفاده از کلید خوشه به سرور Wazuh Manager در پورت ۱۵۱۶ متصل شده و بسته file_upd را ارسال کرده است
• فایل /var/ossec/etc/ossec.conf روی سرور هدف با موفقیت بازنویسی شده است
• این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و کد اکسپلویت واقعی کامل ارائه نشده است
• نتایج نشان می‌دهد که چگونه ترکیب پیمایش مسیر (Path Traversal) و مجوزهای پیش‌فرض ناایمن می‌تواند منجر به اجرای کامل کد از راه دور با بالاترین سطح دسترسی شود (شکل ۲)

شکل 2: اثبات اجرای آسیب پذیری

رفع مسئولیت

این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوب‌های قانونی از محتوای آن ممنوع است.

منابع

https://www.cve.org/CVERecord?id=CVE-2026-25770

https://nvd.nist.gov/vuln/detail/CVE-2026-25770

https://cwe.mitre.org/data/definitions/22.html

https://github.com/wazuh/wazuh/security/advisories/GHSA-r4f7-v3p6-79jm

https://www.tenable.com/cve/CVE-2026-25770

https://www.sentinelone.com/vulnerability-database/cve-2026-25770/

https://cvefeed.io/vuln/detail/CVE-2026-25770

https://www.wiz.io/vulnerability-database/cve/cve-2026-25770

Wazuh Manager

CVE-2026-25770 – Privilege Escalation to Root via Cluster Synchronization Abuse

Affects

Wazuh
Versions:
- 3.9.0 through 4.14.2
Components:
- wazuh-clusterd
- wazuh-logcollector
Deployments where:
- Wazuh cluster functionality is enabled,
- Nodes can authenticate and communicate with the manager,
- Default file permissions are in place.

Description

CVE-2026-25770 is a critical privilege escalation vulnerability in Wazuh Manager caused by improper trust and permission handling in the cluster synchronization protocol.

The issue originates from the wazuh-clusterd service, which allows authenticated cluster nodes to write arbitrary files to the manager’s filesystem with the privileges of the wazuh user.

Due to insecure default permissions, the wazuh user has write access to the main configuration file:

/var/ossec/etc/ossec.conf

An attacker with valid cluster credentials can exploit this by overwriting the configuration file and injecting a malicious <localfile> block. The wazuh-logcollector service, which runs with root privileges, processes this configuration and executes the injected commands.

This results in a privilege escalation chain that leads to full root-level remote code execution, effectively bypassing the intended privilege boundaries and violating the principle of least privilege.

Attack Vector

Primary Attack Vector:
Remote / Authenticated (Cluster Protocol Abuse)

Attack Scenario:

An attacker obtains valid Wazuh cluster node credentials.
The attacker connects to the Wazuh Manager via the cluster synchronization protocol.
Using wazuh-clusterd, the attacker writes or overwrites files on the manager system.
The attacker replaces or modifies /var/ossec/etc/ossec.conf.
A malicious <localfile> configuration block is injected.
The wazuh-logcollector service (running as root) processes the configuration.
The injected command is executed with root privileges.

Key Characteristics:

Requires valid cluster authentication.
No additional user interaction required.
Exploitation leverages legitimate cluster functionality.
Combines file write capability with privileged service execution.

Conditions Increasing Risk:

Multi-node Wazuh cluster deployments.
Weak protection of cluster credentials.
Default filesystem permissions left unchanged.
Lack of monitoring for configuration file changes.

Impact

Successful exploitation allows an attacker to:

Achieve root-level remote code execution,
Modify system configurations,
Establish persistence,
Access or manipulate sensitive security monitoring data,
Disable or evade detection mechanisms.

This vulnerability represents a full system compromise risk.

Observed Exploitation & Threat Activity

No confirmed widespread exploitation reported at disclosure time.
Due to:
- high impact,
- relatively low complexity once credentials are obtained,
this vulnerability is considered high risk in clustered environments.

Severity & Metrics

CVSS v3.1: Critical (9.1 – 9.8 depending on context)
Attack Vector: Network
Privileges Required: Low (cluster authentication)
User Interaction: None
Impact:
- Confidentiality: High
- Integrity: High
- Availability: High

Relevant CWE:

CWE-269 – Improper Privilege Management
CWE-284 – Improper Access Control
CWE-732 – Incorrect Permission Assignment for Critical Resource
CWE-74 – Injection

Patch & Vendor Status

The vulnerability is fixed in Wazuh version 4.14.3.
The fix includes:
- stricter validation of cluster synchronization operations,
- improved file write restrictions,
- hardened permission model.

Users are strongly advised to upgrade immediately.

Mitigation & Remediation

Immediate Actions

Upgrade Wazuh to version 4.14.3 or later.
Restart Wazuh services after upgrading.
Audit /var/ossec/etc/ossec.conf for unauthorized changes.

Temporary Compensating Controls (If Upgrade Is Delayed)

Restrict cluster communication to trusted nodes only.
Harden filesystem permissions:
- prevent wazuh user from modifying critical configuration files.
Monitor and alert on configuration file changes.
Rotate cluster credentials.

These mitigations reduce risk but do not fully eliminate the vulnerability.

Detection & Hunting

Indicators of Potential Exploitation:

Unexpected modifications to ossec.conf.
Suspicious <localfile> entries.
Unusual command execution by wazuh-logcollector.
Unexpected activity originating from cluster nodes.

Recommended Monitoring:

File integrity monitoring (FIM) for /var/ossec/etc/ossec.conf.
Wazuh logs for cluster synchronization activity.
System logs for root-level command execution.
Network monitoring between cluster nodes.

Post-Incident Response

If exploitation is suspected:

Isolate affected Wazuh Manager nodes.
Preserve logs and configuration files.
Identify unauthorized configuration changes.
Upgrade to patched version.
Rotate cluster credentials and system secrets.
Rebuild the system if root compromise is confirmed.

Summary Table

Category	Details
Vulnerability	Privilege escalation to root
Component	Cluster synchronization (`wazuh-clusterd`)
Attack Vector	Remote, authenticated cluster access
Impact	Root-level remote code execution
Affected Versions	3.9.0 – 4.14.2
Fixed Version	4.14.3
Severity	Critical

References

Wazuh Security Advisory – CVE-2026-25770
NVD – CVE-2026-25770
CWE-269: Improper Privilege Management

CVE-2026-25770

Wazuh has Privilege Escalation to Root via Cluster Protocol File Write