ALERTĂ: CVE-2025-24016 Vulnerabilitate exploatată activ în Wazuh Server

Vulnerabilitatea CVE-2025-24016 afectează componenta server (Manager) a soluției Wazuh cu versiunile cuprinse între 4.4.0 și 4.9.0, inclusiv. Aceasta permite execuția de cod de la distanță (Remote Code Execution – RCE) exploatând o tehnică de deserializare nesecurizată, având un scor CVSS de 9.9, ceea ce o încadrează în categoria vulnerabilităților critice. Exploatarea activă a fost confirmată, iar vulnerabilitatea poate fi utilizată în diverse scopuri rău intenționate, inclusiv pentru compromiterea completă a serverului, exfiltrarea de date, precum și pentru integrarea sistemelor afectate în rețele de tip botnet, cum sunt cele din familia Mirai.

DETALII TEHNICE

Vulnerabilitatea se regăsește în funcția as_wazuh_object, localizată în fișierul common.py, parte a modulului Wazuh Cluster. Această funcție este responsabilă pentru deserializarea mesajelor JSON primite, convertindu-le în obiecte interne Wazuh. În acest proces, conținutul JSON furnizat nu este validat corespunzător. Această abordare permite unui atacator să insereze un dicționar dăunător special conceput. Dacă dicționarul conține structuri speciale, precum cheia __unhandled_exc__, aplicația poate interpreta și executa conținutul transmis, ceea ce poate duce la execuția de cod arbitrar pe sistemul țintă.

Unul din vectorii principali de exploatare este endpoint-ul API POST /security/user/authenticate/run_as, unde parametrii transmiși de client pot fi manipulați pentru a introduce conținut periculos care ulterior ajunge la funcția vulnerabilă as_wazuh_object.

De asemenea, vulnerabilitatea poate fi exploatată și prin endpoint-ul GET/agents/{agent_id}/config/{component}/{configuration}, în scenariile în care un agent compromis răspunde cu un obiect JSON rău intențioant la o solicitare de tip getconfig. În acest caz, codul este executat pe serverul care inițiază cererea.

EXPLOATARE ACTIVĂ

Investigațiile realizate au confirmat faptul că vulnerabilitatea este exploatată activ în mediul real, în special de către rețele de tip Mirai botnet, în cadrul unor campanii precum LZRD Mirai, care utilizează IP-ul 176.65.134[.]62 pentru livrarea de scripturi rău intenționate, folosind domenii cu extensia “.it” pentru comunicarea și distribuirea de variante Mirai adaptate, dotate cu funcționalități suplimentare de atac împotriva serviciilor Telnet și FTP, precum și a unor echipamente de rețea cunoscute ca fiind vulnerabile (Huawei, ZyXEL, Realtek). Metodele de exploatare sunt integrate în scripturi automate, utilizate pentru a detecta și compromite instanțe Wazuh neactualizate și expuse public în internet.

RECOMANDĂRI GENERALE

• Actualizarea imediată la ultima versiune Wazuh disponibilă .
• Restricționarea accesului la interfața API prin politici de control al accesului la nivel de rețea.
• Segmentarea infrastructurii: Serverul Wazuh Manager trebuie să fie protejat prin evitarea expunerii directe la internet.
• Monitorizarea endpoint-urilor sensibile, în special run_as, precum și alertarea pentru payload-uri suspecte (ex. __unhandled_exc__).
• Urmărirea continuă a actualizărilor de securitate.

CONCLUZII

CVE-2025-24016 reprezintă o vulnerabilitate critică, exploatată în mod activ, care impune intervenție imediată pentru remediere. Exploatarea sa de către atacatori, folosind Mirai botnet, accentuează nevoia de actualizare și dezvoltare a măsurilor de securitate în jurul componentelor Wazuh Manager. În lipsa unui răspuns prompt, riscul de compromitere a infrastructurii este unul extrem de ridicat.