CIAC alerta: Vulnerabilidad crítica de RCE en Wazuh (CVE-2025-24016), Riesgos, vulnerabilidades y soluciones La vulnerabilidad CVE-2025-24016 en Wazuh, una plataforma de código abierto para prevención y detección de amenazas, es crítica y permite la ejecución remota de código (RCE) en servidores afectados. Esta falla se encuentra en las versiones desde la 4.4.0 hasta antes de la 4.9.1, y se debe a una deserialización insegura de datos no confiables en la función as_wazuh_object que procesa parámetros JSON en la DistributedAPI. Un atacante con acceso a la API, ya sea mediante un panel comprometido o servidores dentro del clúster, puede inyectar un diccionario malicioso para forzar la ejecución de código Python arbitrario mediante una excepción no controlada (__unhandled_exc__). El ataque puede realizarse, por ejemplo, usando el endpoint run_as, donde el parámetro auth_context es controlado por el atacante y se reenvía al servidor maestro, permitiendo ejecutar código en este. Además, en ciertas configuraciones, un agente comprometido puede responder a solicitudes getconfig con un objeto JSON malicioso, provocando la deserialización insegura en el servidor que maneja la petición original. Esto amplía el vector de ataque más allá del acceso directo a la API. La gravedad de esta vulnerabilidad es crítica, con una puntuación CVSS 3.1 de 9.9, debido a que permite la ejecución remota de código con un bajo nivel de complejidad y sin necesidad de interacción del usuario, afectando la confidencialidad, integridad y disponibilidad del sistema. La solución recomendada es actualizar a la versión 4.9.1 o superior, donde se ha corregido esta falla. Además, se sugiere abordar la causa raíz en lugar de intentar sanitizar entradas, dado que existen múltiples formas de explotar la función vulnerable. Esta vulnerabilidad representa un riesgo significativo para entornos que utilicen Wazuh, especialmente en infraestructuras críticas, por lo que se recomienda una pronta mitigación y revisión de accesos a la API. Fuentes: [1] https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-24016 [2] https://github.com/wazuh/wazuh/security/advisories/GHSA-hcrc-79hj-m3qh [3] https://www.sonicwall.com/blog/critical-wazuh-rce-vulnerability-cve-2025-24016-risks-exploits-and-remediation [4] https://www.ncsc.gov.ie/pdfs/2503140157_Crit_Wazuh_RCE_Vuln.pdf Síguenos: TG: https://t.me/ciberciac WAPP: https://whatsapp.com/channel/0029Va6OjVKA89Mj7w8xde06