Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad se encuentra en la DistributedAPI de Wazuh, la cual no valida adecuadamente las estructuras de datos recibidas. Esto permite que un atacante, con acceso a la API, envíe un diccionario especialmente manipulado que causa una excepción no controlada (__unhandled_exc__) y desencadena la ejecución de código Python arbitrario en el sistema afectado. Esto pone en riesgo la integridad y confidencialidad del sistema monitorizado.
Recursos afectados
- Wazuh versiones desde la 4.4.0 hasta antes de la 4.9.1.
- Implementaciones donde la API esté expuesta o accesible sin segmentación adecuada.
Solución/Mitigación
- Actualizar a la versión 4.9.1, que corrige la vulnerabilidad.
- Restringir el acceso a la API, aplicando controles de red y autenticación fuerte.
- Revisar los logs del sistema y de la API en busca de actividades anómalas.
Indicadores de compromiso
- Errores tipo __unhandled_exc__ en los registros de la API.
- Solicitudes malformadas o con diccionarios atípicos dirigidas a endpoints de la API.
- Comportamiento inesperado del servicio Wazuh o ejecución de scripts no autorizados.
Recomendaciones
- Actualizar inmediatamente Wazuh a la versión 4.9.1 o superior.
- Limitar el acceso a la API a través de listas blancas, firewalls y VPN.
- Implementar monitoreo y alertas para detectar uso anómalo de la API.
- Revisar configuraciones de seguridad de la red y la arquitectura del sistema.
- Educar al personal técnico sobre buenas prácticas de hardening de servicios expuestos.