Wazuh, una plataforma open-source unificada XDR y SIEM, contiene una vulnerabilidad crítica (CVE-2025-24016) que afecta a las versiones >= 4.4.0 y < 4.9.1. Este problema, derivado de una deserialización insegura, permite la ejecución remota de código (RCE) a través de entradas maliciosas hacia la DistributedAPI. Dada su función como componente central en el monitoreo de la seguridad TI, la explotación de esta vulnerabilidad conlleva riesgos significativos para la integridad y la disponibilidad del sistema.

La vulnerabilidad tiene una puntuación CVSS de 9.9 (Crítica) y puede ser explotada por atacantes con credenciales API válidas. Si las credenciales por defecto siguen en uso, pueden ser utilizadas para comprometer el sistema. Además, un agente de Wazuh comprometido podría actuar como punto de entrada para el ataque. Esta problemática afecta especialmente a las organizaciones que dependen de clústeres de Wazuh o de configuraciones donde los agentes desempeñan roles clave.

Producto	Wazuh
Fecha	2025-02-18 12:36:09
Información	En tendencia Parche disponible

Resumen técnico

CVE-2025-24016 deriva de la deserialización insegura de los parámetros de DistributedAPI (DAPI) tratados como objetos JSON. En particular, la función as_wazuh_object del framework de Wazuh no sanitiza correctamente las entradas. Un atacante en posesión de credenciales API válidas puede inyectar un diccionario no sanitizado para explotar esta vulnerabilidad, lo que conduce a la ejecución arbitraria de código Python.

Escenarios de explotación:

1. Acceso API con credenciales válidas

   • La vulnerabilidad puede activarse enviando una solicitud maliciosa (por ejemplo, a través del endpoint run_as). Un atacante con credenciales válidas puede controlar completamente el parámetro auth_context, que se reenvía al servidor maestro para su procesamiento.
   • Las credenciales por defecto (ej. wazuh-wui:MyS3cr37P450r.*-) aumentan considerablemente el riesgo si no se modifican.
   • Los payloads maliciosos en dichas solicitudes conducen a RCE en el servidor maestro.

2. Agente comprometido

   • Un agente comprometido puede enviar una respuesta getconfig manipulada que contenga JSON malicioso.
   • Si esta solicitud se propaga entre los servidores de un clúster, podría causar una deserialización insegura en el servidor de destino.

Detalles técnicos:

• La vulnerabilidad tiene su origen en el archivo framework/wazuh/core/cluster/common.py, donde la función as_wazuh_object gestiona de forma inadecuada los datos JSON serializados.
• Los objetos JSON maliciosos, incluidos aquellos con atributos como __unhandled_exc__, pueden ejecutar código arbitrario.
• Ejemplos de abuso incluyen la inyección de objetos __callable__ o la activación de gadgets de excepción para comprometer aún más el sistema.

Recomendaciones

1. Aplicar el parche inmediatamente

• Actualice a Wazuh 4.9.1 o versiones posteriores, en las cuales la vulnerabilidad ha sido resuelta por completo. Aplique este parche a todos los componentes afectados, incluidos servidores y agentes, siguiendo los procesos de prueba y aprobación adoptados por la organización.

1. Modificar las credenciales por defecto

• Verifique que las credenciales por defecto, como wazuh-wui:MyS3cr37P450r.*-, sean cambiadas inmediatamente. Utilice contraseñas fuertes y únicas para todas las cuentas para prevenir accesos no autorizados.

1. Mejorar el monitoreo

• Implemente mecanismos de registro (logging) y detección para identificar solicitudes API sospechosas, especialmente hacia endpoints como run_as o solicitudes DAPI.
• Monitoree comportamientos anómalos de los agentes, como respuestas getconfig inesperadas.

1. Sanitización de entradas y refuerzo de la configuración

• Asegúrese de que todas las entradas que llegan a as_wazuh_object sean validadas adecuadamente.
• Aísle los componentes críticos dentro de la arquitectura de Wazuh para limitar las rutas de explotación (por ejemplo, separando las comunicaciones de los agentes del acceso a la API).

[Callforaction-THREAT-Footer]