Alerta de seguridad
Nivel de peligrosidad: Critico
Descripción
La falla ocurre durante el proceso de sincronización de archivos entre nodos del clúster de Wazuh. Debido a una gestión inadecuada de permisos y validación de rutas, un atacante que haya comprometido un nodo "worker" o que posea credenciales de nodo puede enviar archivos maliciosos que sobrescriben el archivo /var/ossec/etc/ossec.conf.
Al modificar este archivo, el atacante puede insertar comandos que el servicio wazuh-logcollector ejecutará con privilegios de superusuario, logrando el control total del sistema afectado.
Recursos afectados
-
Wazuh Manager: Versiones desde la 3.9.0 hasta la 4.14.2.
- Configuraciones de clúster donde el puerto 1516/TCP esté expuesto a redes no confiables.
Solución
Actualizar todas las instancias de Wazuh Manager a la versión 4.14.3 o superior, donde se han implementado validaciones estrictas de integridad de archivos en el clúster.
Mitigación
Restringir el acceso al puerto del clúster (1516) mediante firewall, permitiendo únicamente el tráfico desde IPs conocidas de nodos autorizados.
Indicadores de compromiso
- Cambios inesperados en el hash de /var/ossec/etc/ossec.conf.
- Entradas sospechosas en ossec.log relacionadas con errores de sincronización de archivos o comandos desconocidos ejecutados por wazuh-logcollector.
- Intentos de conexión al puerto 1516 desde direcciones IP externas al entorno del clúster.
Recomendaciones
- Habilitar el módulo de Monitoreo de Integridad de Archivos (FIM) específicamente para el directorio /var/ossec/etc/.
- Implementar autenticación robusta mediante certificados TLS para la comunicación entre nodos del clúster.
- Revisar periódicamente los permisos de los archivos binarios y de configuración de Wazuh para asegurar que sigan el principio de menor privilegio.