In der Opensource-Sicherheitsplattform Wazuh klaffte eine kritische Lücke, die Angreifern erlaubte, eigenen Code einzuschleusen und verwundbare Server so zu übernehmen. Dafür benötigten sie jedoch Zugriff auf das API, mithin also ein gültiges Nutzerkonto. In größeren Wazuh-Verbünden mit mehr als einem Server gab es jedoch noch einen leichteren Weg, den Server zu kompromittieren.
Anzeige
Der einfachste Weg, das Opensource-SIEM (Security Information and Event Management) zu knacken, führte über dessen API. Schob der Angreifer dort ein ein speziell konstruiertes serialisiertes Objekt mit Python-Code ein, wurde dieser ausgeführt. So konnte er etwa den Server abschalten oder gleich ganz übernehmen.
Auch über den Wazuh-Agenten gab es einen Weg zur Codeausführung. Der Agent ist ein Stück Software, das von einem Endpunkt (etwa einem Büro-PC oder überwachten Webserver) eine Verbindung zum Wazuh-Server herstellt und Überwachungsdaten wie etwa Paketversionen oder Sicherheitsereignisse meldet. In einem Serververbund konnte ein gekaperter Agent ebenfalls über einen geschickt manipulierten API-Aufruf Code auf einem der Server ausführen. Dieser Angriffsweg klappte jedoch nicht bei kleineren Installationen mit nur einem Server.
Die kritische Lücke mit der CVE-ID CVE-2025-24016 (CVSS 9,9/10) klaffte in allen Wazuh-Versionen von 4.4.0 bis 4.9.0 und ist in Version 4.9.1 behoben. Derzeit aktuell ist Wazuh 4.10.1.
Das Update erschien bereits im Oktober 2024 – war seinerzeit jedoch nicht als sicherheitskritisch markiert. Details zur Sicherheitslücke wurden jedoch erst vor wenigen Tagen im Februar 2025 bekannt. Auch findet sich im Changelog der reparierten Version keine Erwähnung der Lücke. Wazuh-Admins sollten also prüfen, ob ihre Server aktuell sind.
Wazuh stellt sich als Opensource-Alternative zu kommerziellen SIEM- und EDR-Systemen (Endpoint Detection and Response) auf und bietet Funktionen wie Malware-Erkennung und Schwachstellenmanagement.
(
Kommentare