Freym PC Blog

Vulnerabilidad crítica en Wazuh (CVE-2025-24016)

Admin
June 13, 2025
Vulnerabilidad crítica en Wazuh (CVE-2025-24016)
Translate to:

La vulnerabilidad CVE-2025-24016 es una falla de ejecución remota de código (RCE) clasificada como crítica (CVSS 9.9) que afecta a Wazuh Server en versiones desde la 4.4.0 hasta la 4.9.0. El problema radica en una deserialización insegura dentro del componente DistributedAPI, específicamente en la función as_wazuh_object del archivo framework/wazuh/core/cluster/common.py. Los parámetros de la API se serializan como JSON y, al ser deserializados sin la debida validación, permiten que un atacante con acceso a la API inyecte un diccionario malicioso que puede ejecutar código Python arbitrario en el servidor.

Explotación y campañas activas

• Para explotar la vulnerabilidad, el atacante necesita credenciales válidas de la API de Wazuh. Una vez autenticado, puede enviar un payload JSON manipulado (usando el primitivo __unhandled_exc__) a endpoints como /security/user/authenticate/run_as o /agents/{agent_id}/config/{component}/{configuration} para desencadenar la ejecución remota de código.

• Tras la publicación de un exploit de tipo proof-of-concept (PoC), se han detectado campañas activas de botnets basadas en Mirai (como LZRD y Resbot) que explotan esta falla para comprometer servidores Wazuh expuestos, instalar malware y reclutar los sistemas en redes de ataques DDoS.

• Los atacantes han adaptado el exploit para descargar y ejecutar scripts maliciosos desde servidores remotos, utilizando comandos como wget o curl para desplegar el malware.

Impacto

• Un servidor comprometido puede ser controlado remotamente, utilizado para lanzar ataques DDoS, escanear y atacar otros dispositivos, o instalar cargas adicionales de malware.

• La explotación se ha observado globalmente, con especial actividad en Asia y Europa, y afecta tanto a empresas como a proveedores de servicios de seguridad que utilicen Wazuh como SIEM/XDR.

Mitigación y recomendaciones

• La vulnerabilidad fue corregida en la versión 4.9.1 de Wazuh. Se recomienda actualizar inmediatamente a esta versión o posterior.

• Limitar el acceso a la API de Wazuh solo a clientes y redes de confianza.

• Monitorizar logs en busca de actividad anómala en la API, especialmente solicitudes a los endpoints mencionados y patrones que incluyan el uso de __unhandled_exc__ en los payloads.

• Existen firmas de detección específicas para sistemas IPS/IDS (por ejemplo, SonicWall IPS: 20732) y scripts open-source para verificar si una instancia de Wazuh es vulnerable.

Referencias clave

SonicWall, Akamai, ASEC, y otros equipos de seguridad han publicado detalles técnicos, indicadores de compromiso y guías de mitigación.

Comments (0)

No comments yet. Be the first to comment!