Falha crítica no Wazuh permite apagar alertas e evidências de segurança

Uma vulnerabilidade crítica no Wazuh Manager pode permitir que invasores manipulem alertas, apaguem evidências forenses e alterem dados usados por equipes de segurança em ambientes monitorados pela plataforma.

A falha recebeu pontuação CVSS 10.0 e afeta o Wazuh Manager 5.0.0-beta1.

O problema está no subsistema inventory_sync, introduzido nessa versão, e envolve uma falha de injeção NDJSON.

O componente processa dados enviados por agentes e os encaminha para a API _bulk do OpenSearch sem validar corretamente o campo usado para definir índices.

Na prática, um agente malicioso ou comprometido pode inserir quebras de linha e fragmentos JSON no campo vulnerável. Com isso, operações não autorizadas, como exclusão, atualização ou criação de documentos, podem ser embutidas no fluxo legítimo de indexação.

Pesquisadores demonstraram a exploração por canais padrão de comunicação do Wazuh, incluindo as portas TCP 1514 e 1515.

O ataque também pode ser viabilizado por configurações inseguras que permitem o registro anônimo de agentes no wazuh-authd.

Com acesso ao fluxo de dados, um invasor poderia apagar alertas, modificar informações de inventário e vulnerabilidades, alterar registros de outros agentes ou inserir conteúdo malicioso em painéis de análise.

Isso compromete a confiança nos dados usados para investigação e resposta a incidentes.

A correção está disponível no Wazuh 5.0.0-beta3. Administradores devem atualizar a plataforma, desativar registro anônimo de agentes, restringir privilégios do indexador, revisar logs e investigar modificações suspeitas em índices do OpenSearch.

Leia mais na mesma categoria:

DestaqueNotíciasPatches e CorreçõesVulnerabilidades