Vulnerabilidad en Wazuh (CVE-2023-50260)

Wazuh es una plataforma gratuita y de código abierto que se utiliza para la prevención, detección y respuesta a amenazas. Una validación incorrecta en el script `host_deny` permite escribir cualquier cadena en el archivo `hosts.deny`, lo que puede terminar en la ejecución de un comando arbitrario en el sistema de destino. Esta vulnerabilidad es parte de la función de respuesta activa, que puede desencadenar acciones automáticamente en respuesta a alertas. De forma predeterminada, las respuestas activas están limitadas a un conjunto de ejecutables predefinidos. Esto se aplica permitiendo que solo los ejecutables almacenados en `/var/ossec/active-response/bin` se ejecuten como una respuesta activa. Sin embargo, el `/var/ossec/active-response/bin/host_deny` puede ser explotado. `host_deny` se usa para agregar una dirección IP al archivo `/etc/hosts.deny` para bloquear conexiones entrantes en un nivel de servicio mediante el uso de contenedores TCP. El atacante puede inyectar un comando arbitrario en el archivo `/etc/hosts.deny` y ejecutar un comando arbitrario utilizando la directiva spawn. La respuesta activa se puede activar escribiendo eventos en la cola "execd" local en el servidor o en la cola "ar" que reenvía los eventos a los agentes. Por lo tanto, puede conducir a LPE en el servidor como raíz y a RCE en el agente como raíz. Esta vulnerabilidad se soluciona en 4.7.2.