Una brecha en Wazuh que pone en jaque la integridad de tus alertas de seguridad
Recientemente se identificó una vulnerabilidad crítica en Wazuh Manager que abre la puerta a atacantes remotos para manipular alertas de seguridad, eliminar evidencia forense y alterar datos en sistemas SIEM. Esta falla, con un puntaje máximo de gravedad (CVSS 10.0), afecta la versión 5.0.0-beta1 y está vinculada a un problema de inyección en el subsistema inventory_sync.
El origen del problema radica en la forma en que Wazuh procesa datos enviados por agentes. En particular, el campo _index dentro de las operaciones masivas hacia OpenSearch no se valida ni sanitiza correctamente, lo que permite a un agente malicioso inyectar comandos arbitrarios como eliminar o modificar documentos.
Esto es posible porque, aunque otros campos reciben un tratamiento seguro, el campo _index se concatena directamente en la solicitud sin filtros. Con técnicas que incluyen caracteres especiales y fragmentos JSON diseñados, un atacante puede insertar operaciones no autorizadas que se ejecutan con privilegios administrativos, ya que Wazuh utiliza credenciales con amplios permisos para indexar la información.
Además, la configuración por defecto permite que agentes se registren sin autenticación sólida, facilitando el acceso inicial para explotar esta vulnerabilidad. Entre las acciones maliciosas posibles se encuentran:
- Borrar documentos arbitrarios en índices de Wazuh, eliminando alertas y registros críticos.
- Modificar datos de vulnerabilidades e inventarios de otros agentes.
- Inyectar contenido malicioso en paneles de Kibana, afectando la visualización y análisis.
- Manipular datos en entornos compartidos entre múltiples clientes.
Investigadores demostraron un exploit funcional que confirma la capacidad de borrar registros mediante esta falla, que está clasificada principalmente como una inyección (CWE-74) y problemas de autorización incorrecta (CWE-863).
La raíz del problema es la ausencia de validación y neutralización adecuada de entradas en el campo DataValue.index. Dado que las credenciales usadas tienen privilegios elevados, el impacto es crítico para la integridad y confiabilidad de los datos de seguridad.
El equipo de desarrollo ya corrigió esta vulnerabilidad en la versión 5.0.0-beta3 de Wazuh. Se recomienda actualizar de inmediato para mitigar riesgos.
¿Qué pueden hacer las empresas para protegerse?
La recomendación clave es implementar controles estrictos sobre la validación de nombres de índices y evitar el uso de roles con privilegios administrativos para operaciones de indexación. También es fundamental deshabilitar el registro anónimo de agentes y reforzar la autenticación para limitar accesos no autorizados.
Esta vulnerabilidad subraya la importancia de revisar configuraciones por defecto y mantener actualizado el software de monitoreo y seguridad. La manipulación silenciosa de alertas y la eliminación de evidencias pueden pasar desapercibidas y afectar la capacidad de respuesta ante incidentes.
¿Tu organización ya revisó sus versiones de Wazuh y las configuraciones de autenticación? Mantener la integridad de los datos de seguridad es un pilar para la confianza en cualquier sistema de monitoreo.
