heise PlusAbo
Anzeige

Opensource-Sicherheitsplattform: Kritische LĂĽcke in Wazuh erlaubte Codeschmuggel

Ăśber eine unsichere Deserialisierung konnten Angreifer auf Wazuh-Servern eigenen Code aus der Ferne ausfĂĽhren. Der Angriff gelang auch ĂĽber gekaperte Agenten.

vorlesen Druckansicht 4 Kommentare lesen
IT-Verwalter sitzt vorm Server und ĂĽberwacht die Performance

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

In der Opensource-Sicherheitsplattform Wazuh klaffte eine kritische Lücke, die Angreifern erlaubte, eigenen Code einzuschleusen und verwundbare Server so zu übernehmen. Dafür benötigten sie jedoch Zugriff auf das API, mithin also ein gültiges Nutzerkonto. In größeren Wazuh-Verbünden mit mehr als einem Server gab es jedoch noch einen leichteren Weg, den Server zu kompromittieren.

Angriff ĂĽber API oder Agent

Der einfachste Weg, das Opensource-SIEM (Security Information and Event Management) zu knacken, fĂĽhrte ĂĽber dessen API. Schob der Angreifer dort ein ein speziell konstruiertes serialisiertes Objekt mit Python-Code ein, wurde dieser ausgefĂĽhrt. So konnte er etwa den Server abschalten oder gleich ganz ĂĽbernehmen.

Videos by heise

Auch ĂĽber den Wazuh-Agenten gab es einen Weg zur CodeausfĂĽhrung. Der Agent ist ein StĂĽck Software, das von einem Endpunkt (etwa einem BĂĽro-PC oder ĂĽberwachten Webserver) eine Verbindung zum Wazuh-Server herstellt und Ăśberwachungsdaten wie etwa Paketversionen oder Sicherheitsereignisse meldet. In einem Serververbund konnte ein gekaperter Agent ebenfalls ĂĽber einen geschickt manipulierten API-Aufruf Code auf einem der Server ausfĂĽhren. Dieser Angriffsweg klappte jedoch nicht bei kleineren Installationen mit nur einem Server.

Update seit Oktober verfĂĽgbar

Die kritische LĂĽcke mit der CVE-ID CVE-2025-24016 (CVSS 9,9/10) klaffte in allen Wazuh-Versionen von 4.4.0 bis 4.9.0 und ist in Version 4.9.1 behoben. Derzeit aktuell ist Wazuh 4.10.1.

Das Update erschien bereits im Oktober 2024 – war seinerzeit jedoch nicht als sicherheitskritisch markiert. Details zur Sicherheitslücke wurden jedoch erst vor wenigen Tagen im Februar 2025 bekannt. Auch findet sich im Changelog der reparierten Version keine Erwähnung der Lücke. Wazuh-Admins sollten also prüfen, ob ihre Server aktuell sind.

Mehr zum Thema Wazuh

Wazuh stellt sich als Opensource-Alternative zu kommerziellen SIEM- und EDR-Systemen (Endpoint Detection and Response) auf und bietet Funktionen wie Malware-Erkennung und Schwachstellenmanagement.

(cku)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten