iT邦幫忙

2023 iThome 鐵人賽

DAY 18
0
Security

一個人的藍隊系列 第 18

Wazuh agent 密碼驗證機制

  • 分享至 

  • xImage
  •  

今天要回到 Wazuh 的部分了

首先我們先來看看昨日被弱點掃描掃出的 Wazuh 高風險
該風險名稱為
NVT: Unprotected OSSEC/Wazuh ossec-authd (authd Protocol)
High (CVSS: 7.5),是一個 CVSS 7.5 分的高風險
通常如果在企業內部被檢測到高風險,都一定是會被要求修補的

以下是 Greenbone 所提供的弱點資訊

Summary

The remote OSSEC/Wazuh ossec-authd service is not protected by
password authentication or client certificate verification.

Detection Result

Vulnerability was detected according to the Detection Method.

Insight

It was possible to connect to the remote OSSEC/Wazuh ossec-authd
service without providing a password or a valid client certificate.

Detection Method

Evaluate if the remote OSSEC/Wazuh ossec-authd service is
protected by password authentication or client certificate verification.
Details:
Unprotected OSSEC/Wazuh ossec-authd (authd Protocol) OID: 1.3.6.1.4.1.25623.1.0.108547
Version used: 2023-03-01T10:20:05Z

Impact

This issue may be misused by a remote attacker to register
arbitrary agents at the remote service or overwrite the registration of existing ones taking them
out of service.

Solution:

Solution type: Workaround

Enable password authentication or client certificate
verification within the configuration of ossec-authd. Please see the manual of this service for
more information.

其實報告已經講得滿仔細了XD
如果只是看不懂英文的,就自己丟個翻譯吧

簡單來說就是 Agent 進行註冊時,沒有進行密碼或憑證驗證
所以攻擊者可以在任意主機上向 Wazuh Server 註冊成為一台 Agent

我們在 Wazuh Server 上面也可以注意到有一台沒有連線過的 any agent
https://ithelp.ithome.com.tw/upload/images/20231003/201141109LJXDaMKZc.png

當然這個攻擊可能有人會覺得莫名其妙啦 XD
不過確實還是有可能有風險

例如攻擊者註冊之後利用偽造日造跟混淆攻擊
或是上面資訊提到的去覆蓋已存在的代理

所以我們還是來修補一下吧,畢竟也滿容易的
修補方式就是 Agent 註冊要加上密碼驗證

分成兩個階段,第一個是在Server,第二個是在Agent (client)

小提醒
看到弱點第一個要先進行誤判處理
最最最最基本簡單的,你總是要先確認是不是真的有安裝這個服務
如果弱點是和版本相關的,接著要判斷版本是否相符
接下來才是細看弱點的描述,確認是否滿足觸發條件
再來是根據自身環境來判斷風險等級

階段一:Server

在Wazuh Server上
把設定檔當中的 use_password 改成 yes
啟用密碼驗證

/var/ossec/etc/ossec.conf

<auth>
  <use_password>yes</use_password>
</auth>

將密碼寫入在檔案中(記得這個是Wazuh Server那個容器的路徑)

echo "<CUSTOM_PASSWORD>" > /var/ossec/etc/authd.pass

echo "hackerPassword" > /var/ossec/etc/authd.pass
chmod 640 /var/ossec/etc/authd.pass
chown root:wazuh /var/ossec/etc/authd.pass

重啟 Wazuh Server

docker exec -it single-node_wazuh.manager_1 /bin/bash
service wazuh-manager restart

https://ithelp.ithome.com.tw/upload/images/20231003/20114110qmdmDE8ClT.png

階段二:Agent(Client)

在 Wazuh Agent (client) 上
把密碼寫入檔案中
這個是 Agent 被監控主機的系統路徑

echo "<CUSTOM_PASSWORD>" > /var/ossec/etc/authd.pass

echo "hackerPassword" > /var/ossec/etc/authd.pass
chmod 640 /var/ossec/etc/authd.pass
chown root:wazuh /var/ossec/etc/authd.pass
service wazuh-agent restart

這樣就可以 work 了
然後如果要註冊新 Agent 的時候
不用擔心,Wazuh Server 上面產生的指令會幫你包含密碼


上一篇
OpenVAS 弱點掃描設定與檢測執行
下一篇
Wazuh 備份與升版
系列文
一個人的藍隊30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言