Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
El protocolo interno de sincronización del clúster de Wazuh utiliza mecanismos de deserialización para reconstruir objetos enviados entre nodos.
Debido a una validación insuficiente del contenido recibido, un atacante podría enviar objetos especialmente diseñados que exploten cadenas de gadgets en librerías Python utilizadas por el servicio, permitiendo la ejecución de código arbitrario en el nodo afectado.
Recursos afectados
-
Wazuh Manager en modo cluster
-
Versiones vulnerables: 4.0.0 – 4.14.2
Solución
La vulnerabilidad ha sido corregida en la versión 4.14.3. Se recomienda actualizar todos los nodos del clúster (Maestro y Workers) a esta versión o superior de forma inmediata.
MItigación
- Restringir acceso al puerto 1516 mediante firewall
- Permitir tráfico solo entre nodos del clúster.
Indicadores de compromiso
- Intentos de conexión al puerto 1516 desde direcciones IP no autorizadas.
- Presencia de errores de deserialización o excepciones inesperadas en ossec.log relacionadas con el módulo wazuh-clusterd.
- Ejecución de shells (sh, bash) o conexiones salientes inusuales originadas por el usuario wazuh.
Recomendaciones
- Actualizar Wazuh a la versión 4.14.3 o superior donde la vulnerabilidad ha sido corregida.
- Restringir el acceso al puerto 1516/TCP únicamente a nodos autorizados del clúster.
- Verificar y rotar la clave de clúster configurada en ossec.conf.
- Monitorear los logs de ossec.log en busca de errores de deserialización o actividad anómala.