Wazuh Server

Die Schwachstelle steckt im Wazuh Server, dem zentralen Bestandteil der quelloffenen Plattform Wazuh für Bedrohungserkennung und -abwehr. Die verteilte API (DistributedAPI) überträgt ihre Parameter als JSON und wandelt sie auf der Gegenseite wieder in Objekte um. Diese Deserialisierung erfolgt unsicher: Gelingt es einem Angreifer, ein nicht bereinigtes Wörterbuch in eine API-Anfrage oder -Antwort einzuschleusen, kann er eine präparierte Ausnahmebehandlung vortäuschen und darüber beliebigen Python-Code zur Ausführung bringen. Im Ergebnis lässt sich aus der Ferne Schadcode auf dem Wazuh Server ausführen. Auslösen kann den Angriff jeder mit API-Zugriff – etwa über ein übernommenes Dashboard oder einen kompromittierten Server im Cluster –, in bestimmten Konfigurationen sogar ein kompromittierter Agent. Da der Wazuh Server sicherheitskritische Aufgaben übernimmt und Daten vieler überwachter Systeme zusammenführt, wiegt eine Übernahme besonders schwer.