La agencia de seguridad de infraestructura y ciberseguridad de EE. UU más conocida como CISA agrego recientemente una vulnerabilidad que provienen del sistema Wazuh teniendo el siguiente identificador:
CVE-2025-24016: Está siendo una vulnerabilidad de deserialización, específicamente para el servidor de Wazuh de datos no confiables.
¿Cómo funciona?
Esta vulnerabilidad se aprovecha de un tipo de ataque conocido como inyección de objetos y tiene que ver con la serialización y la deserialización.
Serialización
Es el proceso por el que pasa un objeto o conjunto de datos para poder ser almacenado o procesado, generalmente se convierten en una cadena de texto. Esto con el fin de compactar la información y también funciona como una especie de traductor ya que la información procede a convertirse en un formato legible para otras tecnologías.
Deserialización
Es el proceso contrario a la serialización. Es decir que tomamos esa cadena de texto y la desempaquetamos y ordenamos para que vuelva a su estado original.
¿Cómo se aprovecha de la vulnerabilidad?
Se aprovecha de la API de Wazuh o más bien de cualquier persona que tenga acceso a la misma. El sistema Wazuh utiliza el parámetro DistributedAPI pero lo importante es que este es serializado como JSON, lo cual equivale a una cadena de texto.
Luego de obtener esta información Wazuh obtiene el parámetro y procede a ser la deserialización utilizando la función as-wazu-object es decir para volver la cadena de texto en algo manipulable para el sistema. El problema radica en que el atacante puede manipular esta cadena de texto y adjuntar un diccionario no saneado o previamente analizado por medio de una petición a la API. Luego el sistema lo deserealiza y aquí es donde se cuela la vulnerabilidad y el atacante procede a aprovecharse del sistema.
A continuación, se muestra un ejemplo de cómo funciona la vulnerabilidad de inyección de objetos hacia la API de Wazuh.
Esta vulnerabilidad afecta a partir de la versión 4.4.0 y anterior a la versión 4.9.1.
RECOMENDACIONES
- La recomendación más importante y urgente es actualizar tu instancia de Wazuh a la versión 4.9.1 o superior de inmediato. Esta versión contiene el parche que corrige esta vulnerabilidad crítica. No pospongas esta actualización.
- Verifica la versión actual de tu Wazuh Manager y actualiza siguiendo la documentación oficial de Wazuh.
- Limita el acceso a los puertos de la DistributedAPI de Wazuh (por defecto, el puerto 55000) a solo las IPs y subredes autorizadas y necesarias. Utiliza reglas de firewall (tanto a nivel de host como de red) para restringir estrictamente quién puede comunicarse con el Wazuh Manager a través de esta API.
- Si tu entorno es complejo, considera segmentar la red de gestión de Wazuh para aislarla aún más de otras redes menos confiables dentro de tu infraestructura.
