El equipo de seguridad ha identificado una vulnerabilidad crítica en el servidor de Wazuh, una plataforma de código abierto utilizada para la detección de intrusiones y la gestión de seguridad en entornos Linux. Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el servidor afectado, lo que representa un riesgo significativo para la integridad y seguridad del sistema.
Descripción de la vulnerabilidad
Esta vulnerabilidad afecta a versiones anteriores a 4.7.2 del servidor de Wazuh y se debe a una validación inadecuada en la comunicación con los agentes. Un atacante puede enviar solicitudes manipuladas para explotar la falla y obtener acceso al sistema con privilegios elevados.
Detalles técnicos
- Software afectado: Servidor de Wazuh (versiones < 4.7.2).
- Tipo de vulnerabilidad: Ejecución remota de código (RCE).
- Impacto: Posible toma de control del servidor Wazuh.
- Vector de ataque: Acceso remoto a través de tráfico malicioso.
Prueba de concepto (PoC)
⚠️ Advertencia: Esta información es solo con fines educativos y no debe usarse en entornos no autorizados.
Para verificar si tu sistema es vulnerable, revisa la versión de Wazuh con:
/var/ossec/bin/wazuh-manager -v
Si la versión es inferior a 4.7.2, tu sistema podría estar en riesgo.
Ejemplo de prueba parcial para detectar actividad sospechosa:
cat /var/log/ossec.log | grep 'unauthorized request'
Si aparecen intentos de acceso no autorizado, se recomienda actualizar de inmediato.
Cómo mitigar la vulnerabilidad
1. Actualizar Wazuh a la última versión
La medida más efectiva es actualizar el servidor Wazuh a una versión parcheada. En distribuciones Debian y Ubuntu, ejecuta:
sudo apt update && sudo apt upgrade wazuh-manager -y
En distribuciones Red Hat y CentOS:
sudo dnf update wazuh-manager -y
2. Restringir el acceso a Wazuh
Limita las conexiones al servidor para evitar accesos no autorizados mediante el firewall:
sudo ufw allow from <IP_ADMINISTRACION> to any port 1514
O con iptables:
sudo iptables -A INPUT -p tcp --dport 1514 -s <IP_ADMINISTRACION> -j ACCEPT
3. Habilitar autenticación y monitoreo de actividad
- Configura autenticación segura en Wazuh.
- Activa logs detallados y revisa regularmente /var/log/ossec.log en busca de anomalías.
- Implementa herramientas de detección de intrusos como Fail2Ban para bloquear accesos sospechosos.
La vulnerabilidad en Wazuh representa un alto riesgo para la seguridad de servidores que dependen de esta herramienta de monitoreo y detección de amenazas. Se recomienda actualizar de inmediato, restringir accesos y monitorear la actividad para prevenir ataques.
📌 Mantente informado sobre las últimas vulnerabilidades en nuestra sección de noticias sobre seguridad en Linux.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://seguridadenlinux.com/vulnerabilidad-wazuh-4-7-2-ejecucion-remota/&media=https://seguridadenlinux.com/wp-content/uploads/2025/02/Vulnerabilidad6.png&description="Wazuh 4.7.2 presenta una vulnerabilidad crítica de ejecución remota de código (RCE). Descubre cómo mitigar el riesgo y proteger tu servidor de accesos no autorizados."){kind=link}