Una recente vulnerabilità critica, identificata come CVE-2025-24016, è stata scoperta in Wazuh, una piattaforma open-source per la prevenzione, il rilevamento e la risposta alle minacce. Questa falla di sicurezza, presente nelle versioni dalla 4.4.0 fino alla 4.9.0, consente l’esecuzione di codice da remoto sui server Wazuh a causa di una deserializzazione non sicura nel componente DistributedAPI.
Dettagli Tecnici della Vulnerabilità
Il problema risiede nel modo in cui Wazuh gestisce i parametri del DistributedAPI, che vengono serializzati come JSON e deserializzati utilizzando la funzione as_wazuh_object nel file framework/wazuh/core/cluster/common.py. Un attaccante con accesso all’API può iniettare un payload JSON malevolo, sfruttando un’eccezione non gestita (__unhandled_exc__), per eseguire codice Python arbitrario sul server. Questo attacco può essere effettuato attraverso l’endpoint run_as, dove l’attaccante controlla completamente l’argomento auth_context, permettendo l’esecuzione di codice sul server master inviando una richiesta malevola a un server worker.
Impatto della Vulnerabilità
La vulnerabilità ha un punteggio CVSS di 9.9 su 10, classificandola come critica. Un attaccante che sfrutta con successo questa falla può ottenere l’esecuzione di codice arbitrario sul server Wazuh, compromettendo l’intero sistema di monitoraggio della sicurezza. Questo potrebbe portare a:
- Compromissione Completa del Sistema: L’attaccante potrebbe ottenere il controllo totale del server Wazuh, permettendo movimenti laterali nella rete, elevazione dei privilegi e interferenze con le operazioni di monitoraggio della sicurezza.
- Esposizione di Dati Sensibili: L’accesso non autorizzato potrebbe portare all’esposizione o al furto di log di sicurezza sensibili e dati di monitoraggio, compromettendo la conformità e l’efficacia delle difese di sicurezza.
- Interruzione delle Operazioni: Un attacco riuscito potrebbe causare downtime o malfunzionamenti operativi, mettendo a rischio l’intera postura di sicurezza dell’organizzazione.
Raccomandazioni per la Mitigazione
Per mitigare i rischi associati a CVE-2025-24016, si raccomanda quanto segue:
- Aggiornamento Immediato: Aggiornare Wazuh alla versione 4.9.1 o successiva, che contiene la patch per questa vulnerabilità.
- Restrizione dell’Accesso all’API: Limitare i permessi di accesso all’API per ridurre l’esposizione, assicurandosi che solo client essenziali e fidati possano accedere.
- Configurazione Sicura degli Agenti: Rafforzare le configurazioni degli agenti per prevenire accessi non autorizzati, assicurandosi che siano configurati correttamente e che comunichino solo con server fidati.
- Implementazione di Autenticazione Robusta: Applicare metodi di autenticazione forti per proteggere le interazioni con il sistema, riducendo la possibilità che attaccanti non autorizzati sfruttino la vulnerabilità.
- Monitoraggio dei Log: Monitorare attentamente i log per rilevare attività sospette o richieste
getconfiginsolite, che potrebbero indicare tentativi di sfruttamento della vulnerabilità.
Conclusione
La vulnerabilità CVE-2025-24016 rappresenta una minaccia significativa per le organizzazioni che utilizzano Wazuh nelle versioni affette. È fondamentale adottare misure immediate per aggiornare i sistemi e implementare controlli di sicurezza aggiuntivi per proteggere l’integrità delle operazioni di monitoraggio della sicurezza.
