Wazuh SIEM 플랫폼의 원격 코드 실행 취약점(CVE-2025-24016)

Wazuh SIEM Vulnerability Enables Remote Malicious Code Execution

Wazuh SIEM Vulnerability Enables Remote Malicious Code Execution

 

• 취약점 개요
  • Wazuh SIEM 플랫폼 버전 4.4.0부터 4.9.0까지 영향을 받는 원격 코드 실행(RCE) 취약점 발견
  • CVE-2025-24016으로 등록되었으며, CVSS 9.9의 치명적(Critical) 수준으로 평가
  • 원인은 DAPI(Distributed API) 파라미터 처리 과정에서 발생하는 비안전한 파이썬 eval 함수 사용
• 취약한 코드 구조
  • 취약 함수: as_wazuh_object() in framework/wazuh/core/cluster/common.py
  • 입력된 JSON 내 __unhandled_exc__ 키 존재 시, eval()을 통해 동적 코드 실행 가능
    • 예시 악성 페이로드

        {
          "__unhandled_exc__": {
            "__class__": "os.system",
            "__args__": ["touch /tmp/pwned"]
          }
        }

    • 결과적으로 서버 내 /tmp/pwned 파일 생성 → 임의 시스템 명령 실행
• 영향 범위 및 보안 위협
  • API 접근 권한만으로도 인증 없이 원격 코드 실행 가능
  • 공격 성공 시 다음과 같은 위험 발생
    • Wazuh 서버 완전 제어 및 구성 변경
    • Wazuh 클러스터 전체 탈취 가능
    • 보안 모니터링 무력화 및 탐지 회피
    • 로그 및 보안 이벤트 데이터 탈취
    • 내부망으로의 측면 이동(Lateral Movement) 시작점으로 악용 가능
• 패치 및 보안 조치
  • Wazuh 4.9.1 버전에서 취약점 패치 완료
    • eval() → ast.literal_eval()로 교체하여 임의 코드 실행 차단
    • 안전한 리터럴 평가 방식으로 실행 환경을 통제
  • 수정 코드 예시

      elif '__unhandled_exc__' in dct:
          exc_data = dct['__unhandled_exc__']
          exc_dict = {exc_data['__class__']: exc_data['__args__']}
          return ast.literal_eval(json.dumps(exc_dict))

• 보안 권고
  • 최신 보안 패치 적용: Wazuh 4.9.1 이상으로 업그레이드
  • API 접근 제어: – 인증된 사용자 및 시스템에만 API 노출 – 다중인증(MFA) 도입
  • API 트래픽 상시 모니터링 및 이상 탐지
  • 네트워크 분리 및 서버 세분화 적용
  • Web Application Firewall(WAF)을 통한 악성 요청 선제 차단
  • 보안 설정 및 로그 감사 주기적 시행
• 결론
  • CVE-2025-24016은 오픈소스 보안 운영 플랫폼인 Wazuh의 DAPI 처리 방식의 구조적 결함으로, 보안 운영 인프라 전체를 위협할 수 있는 심각한 취약점
  • SIEM 및 보안 중심 플랫폼은 취약점 악용 시 피해 범위가 치명적일 수 있으므로, 즉각적 패치와 지속적인 구성 점검 필수
  • 복잡한 분산 구조의 보안 시스템일수록 API 및 내장 모듈 내 코드 실행 경로에 대한 취약성 검증이 핵심