Wazuh sérülékenység
A Wazuh nyílt forráskódú SIEM/XDR platformban egy kritikus sérülékenység lehetővé tette, hogy támadók távoli kódfuttatást (RCE) érjenek el és teljesen átvegyék a szerver felett az irányítást.
A sérülékenység (CVE-2025-24016) egy nem biztonságos deszerializációs mechanizmus volt az API-kezelésben. Egy speciálisan kialakított, Python kódot tartalmazó objektum beküldésével a rendszer végrehajtotta a támadó kódját, ami teljes kompromittációhoz vezethetett, beleértve a szolgáltatás leállítását vagy a rendszer feletti kontroll megszerzését.
A támadás elsődleges belépési pontja az API, amelyhez érvényes hitelesítés szükséges, ugyanakkor komplexebb telepítésekben egy alternatív támadási útvonal is létezett. Ha egy Wazuh agentet kompromittáltak, azon keresztül manipulált API-hívásokkal a támadó képes volt más szervereken is kódot futtatni, ami laterális mozgást tett lehetővé a teljes környezetben.
A sérülékenység a 4.4.0–4.9.0 verziókat érintette, és 9.9-es CVSS értékkel kritikusnak minősül. Bár a javítás már 2024 októberében elérhető volt (4.9.1), a probléma csak később került nyilvánosságra, és nem szerepelt egyértelműen biztonsági hibaként a changelogban, ami növelte a kitettséget.
