Se ha emitido una alerta de ciberseguridad tras la divulgación de vulnerabilidades de severidad alta y crítica que afectan a la plataforma de código abierto Wazuh, utilizada globalmente para la prevención, detección y respuesta a amenazas (XDR/SIEM). Los fallos identificados exponen la infraestructura de monitoreo a ataques de Denegación de Servicio (DoS) en su API y, de manera más grave, a la Ejecución Remota de Código (RCE) dentro de su arquitectura de clúster, permitiendo que un atacante escale desde un nodo secundario hasta tomar el control total del nodo maestro (master node) con privilegios de administrador.
Veredicto Analítico
- Estado: Confirmado (Parches oficiales liberados a partir de la versión 4.14.3).
- Confianza: Alta (Basado en los avisos de seguridad oficiales del equipo de inteligencia de Wazuh y telemetría de firmas de investigación).
- Riesgo para SOC TDIR: Crítico. Wazuh es el núcleo central defensivo de la organización. Comprometer el nodo maestro no solo “ciega” a los equipos de seguridad deteniendo la ingesta de alertas, sino que otorga al atacante una plataforma privilegiada para manipular configuraciones, distribuir malware o borrar rastros en toda la flota de agentes desplegados.
- Urgencia operativa: Inmediata. Es mandatorio actualizar la infraestructura del manager y aislar la API de exposición externa, ya que las condiciones para el DoS requieren muy baja complejidad y ninguna autenticación.
- Base del veredicto: Falla de agotamiento de recursos por operaciones bloqueantes (CVSS 7.5) y una falla estructural de deserialización insegura de datos (CVSS 9.1).
Hallazgos Clave
- Componentes Afectados: La arquitectura de clúster (comunicación Maestro/Trabajador) y el middleware de autenticación de la API de Wazuh (middlewares.py).
- CVE-2026-25769 (Wazuh Cluster RCE – CVSS 9.1): Vulnerabilidad crítica de Ejecución Remota de Código (RCE) causada por la deserialización insegura de datos no confiables. Si una organización tiene un nodo trabajador (worker) comprometido por cualquier medio, el atacante puede pivotar y lograr la ejecución de código con privilegios de root directamente en el nodo maestro.
- CVE-2026-25771 (Wazuh API DoS – CVSS 7.5): Vulnerabilidad de denegación de servicio. Un atacante remoto y no autenticado puede agotar por completo los recursos de procesamiento (CPU) del servidor inundando la API con tokens de acceso (Bearer tokens) inválidos.
- Versiones Afectadas: Todas las instancias desde la versión 4.0.0 hasta la 4.14.2 están impactadas por estos fallos.
Análisis Técnico
- Vectores de Ataque y Acceso Inicial:
- Para el DoS (CVE-2026-25771): La API de Wazuh funciona sobre un ciclo de eventos asíncrono (Starlette/Asyncio). Sin embargo, el middleware de autenticación invoca la función síncrona generate_keypair, la cual realiza operaciones de disco (I/O) bloqueantes por cada solicitud que contenga un token. Al inundar la API con múltiples peticiones HTTP concurrentes con Bearer tokens aleatorios, el atacante fuerza repetidas lecturas en disco. Esto “congela” el bucle de eventos, impidiendo que el servidor acepte o procese conexiones legítimas de seguridad.
- Para el RCE (CVE-2026-25769): El nodo maestro procesa e hidrata objetos serializados enviados por los nodos trabajadores para mantener la sincronización del clúster. Al carecer de una sanitización estricta durante esta etapa de deserialización, un worker malicioso o comprometido puede inyectar código ensamblado. El nodo maestro ejecuta estas instrucciones nativas del sistema operativo asumiendo que provienen de una fuente confiable del clúster.
TTPs (MITRE ATT&CK):
- Acceso Inicial / Movimiento Lateral: Explotación de servicios remotos internos e infraestructuras de confianza (Exploitation of Remote Services).
- Impacto: Denegación de servicio a nivel de aplicación mediante la saturación del flujo asíncrono (Endpoint Denial of Service: Application Exhaustion Flood).
- Privilegios y Evasión: Elevación de permisos abusando del servicio principal y disrupción del monitoreo continuo (Impair Defenses / Exploitation for Privilege Escalation).
Recomendaciones Operativas
Para Administradores de Sistemas / Infraestructura (Acción Inmediata)
- Actualización del Entorno Core: Desplegar inmediatamente la versión 4.14.3 (o superior) en todas las instancias de Wazuh Manager. Esta versión elimina la función I/O bloqueante de la ruta de autenticación de la API y refuerza el aislamiento en la deserialización del clúster.
- Aislamiento de la API y Throttling: Restringir el acceso de red a la API de Wazuh (típicamente en el puerto TCP 55000) de forma que solo sea accesible desde subredes de gestión confiables. Colocar un proxy inverso (como Nginx o HAProxy) por delante de la API para imponer límites estrictos de tasa de peticiones (rate-limiting) por dirección IP.
Para el SOC (Monitoreo y Detección)
- Vigilancia de Inundación de Tokens: Configurar el WAF interno o los sistemas perimetrales para emitir alertas de prioridad crítica ante ráfagas de tráfico HTTP hacia la API de Wazuh que resulten en picos masivos de respuestas HTTP 401 Unauthorized o HTTP 429 Too Many Requests.
- Monitoreo de Nodos Trabajadores (Workers): Prestar atención minuciosa al comportamiento de los servidores worker. Activar alertas si el proceso principal wazuh-clusterd genera procesos hijos interactivos no documentados, conexiones de red externas inusuales o intentos de manipulación de archivos binarios locales.
Para CTI (Inteligencia de Amenazas)
- Evaluación de Superficie Expuesta: Al ser una plataforma de alta adopción, es necesario auditar la postura de seguridad global para confirmar que ninguna consola de administración o puerto de clúster de Wazuh (TCP 1516) esté visible en Internet o accesible desde segmentos de red de invitados.
- Seguimiento de Tácticas Oportunistas: Mantener monitoreo sobre la actividad de botnets especializadas que suelen integrar rápidamente vulnerabilidades de DoS y RCE para comprometer infraestructura perimetral desactualizada y utilizarla como nodo de distribución secundaria de ataques (como ha sucedido históricamente con Mirai y las variantes de IoT).
