Kritische Sicherheitsanfälligkeit in Wazuh

12.02.2025 13:18 Uhr heise

In der Opensource-Sicherheitsplattform Wazuh existierte eine erhebliche Sicherheitsanfälligkeit. Diese ermöglichte Angreifern eigenen Code in Systeme einzuschleusen. Damit konnten sie kontrollierte Server übernehmen.

Zugang über API

Ein zentraler Zugangspunkt für Angreifer war die API der Plattform. Sie konnten dort ein speziell konstruiertes, serialisiertes Objekt mit Python-Code einfügen. Das führte dazu, dass dieser Code sofort ausgeführt wurde. Die Folgen waren gravierend – ein Server konnte direkt abgeschaltet oder gar vollständig übernommen werden.

Angriff durch Wazuh-Agenten

Der Wazuh-Agent stellte einen weiteren Weg zur Ausnutzung der Lücke dar. Diese Software stellt eine Verbindung zwischen einem Endpunkt, ebenso wie z.B. einem Büro-PC und dem Wazuh-Server her. Sie übertragen wichtige Überwachungsdaten. Konnte ein Agent in einem Serververbund gekapert werden, war es ähnlich wie möglich, durch einen manipulierten API-Aufruf Code auf einem der Server auszuführen. Diese Methode war jedoch nicht bei kleineren Installationen mit nur einem Server anwendbar.

Update & Sicherheits aspekte

Die kritische Lücke wurde unter der CVE-ID CVE-2025-24016 mit einer Bewertung von 9,9/10 im CVSS geführt. Sie betraf alle Wazuh-Versionen zwischen 4.4.0 und 4.9.0. In der Version 4.9.1 wurde die Sicherheitsanfälligkeit behoben. Wazuh 4.10.1 ist derzeit die aktuellste Version.

Das Update wurde im Oktober 2024 veröffentlicht. Zu diesem Zeitpunkt war es allerdings noch nicht als sicherheitskritisch eingestuft worden. Die Informationen zur Sicherheitslücke kamen erst im Februar 2025 ans Licht. Interessanterweise fehlt eine Erwähnung der Lücke im Changelog der reparierten Version. Wazuh-Administratoren sollten umgehend prüfen, ob ihre Systeme auf dem neuesten Stand sind.

Kommentare

Wazuh positioniert sich als Opensource-Alternative zu kommerziellen SIEM- und EDR-Systemen. Die Plattform bietet zahlreiche Funktionen, darunter Malware-Erkennung und Schwachstellenmanagement. Sicherheitsbewusstsein ist für Wazuh-Nutzer in der heutigen Zeit unerlässlich.

Ähnliche News

Kritische Sicherheitslücke im Monitoring-Tool Zabbix

Monitoring-Tool Zabbix: Kritische Lücke ermöglicht Kontrollübernahme

Ein gefährlicher Sicherheitsfehler in dem Monitoring-Tool Zabbix wurde entdeckt. Die Lücke ermöglicht Angreifern die vollständige Kontrolle über verwundbare Instanzen. In einer Sicherheitsmitteilung teilt der Hersteller der Open-Source-Software relevante Informationen.

IBM Schließt Sicherheitslücke in Business Automation Workflow

IBM behebt drei Jahre alte Sicherheitslücke in Business Automation Workflow

IBM hat eine kritische Sicherheitsanfälligkeit behoben die seit drei Jahren in verschiedenen Versionen des **Business Automation Workflow** existierte. Diese Schwachstelle resultierte aus einer veralteten Javascript-Bibliothek.

Angriffe auf Sicherheitslücken: Android-Kernel, Apache OfBiz und Progress WhatsUp

Attacken auf Android-Kernel, Apache OfBiz und Progress WhatsUp

Der Fokus von kriminellen Aktivitäten liegt derzeit auf den Sicherheitslücken im Android-Kernel, Apache OfBiz und Progress WhatsUp. IT-Verantwortliche stehen in der Verantwortung, Updates zügig zu implementieren wo immer dies möglich ist.

Sicherheitspatch für Dovecot-IMAP-Server

Sicherheitspatch: Angreifer können Dovecot-Mail-Server lahmlegen

Schwachstellen ermöglichen Angriffe Angreifer können auf zwei kritische Schwachstellen im Dovecot-IMAP-Server zugreifen. Diese Sicherheitslücken ermöglichen es ihnen, Systeme durch DoS-Attacken lahmzulegen.

Microsoft Copilot Studio: Alarmierende Sicherheitslücke entdeckt

Microsoft Copilot Studio: Datenleck durch SSRF-Schwachstelle möglich

Entdeckung einer schwerwiegenden Schwachstelle Sicherheitsforscher von Tenable haben eine schwerwiegende Sicherheitsanfälligkeit in Microsofts Copilot Studio identifiziert. Diese Schwachstelle trägt die Kennung CVE-2024-38206.