Wazuh, açık kaynaklı güvenlik çözümleri sunan önde gelen platformlardan biri olarak, tehdit tespiti, önleme ve müdahale konularında yaygın biçimde kullanılmaktadır. Ancak, son güncellemelere göre, Wazuh sunucularını etkileyen kritik bir uzak kod çalıştırma (RCE) açığı keşfedilmiştir. CVE-2025-24016 olarak tanımlanan bu zafiyet, CVSS puanlamasında 9.9 gibi yüksek bir skor almış olup, saldırganların hedef sistem üzerinde tam kontrol sağlamasına imkan tanımaktadır.
Arka Plan
Wazuh; log analizi, izinsiz giriş tespiti, dosya bütünlüğü izleme ve zafiyet değerlendirmesi gibi kapsamlı güvenlik yetenekleri sunmaktadır. Bu özellikleri sayesinde, pek çok kurum ve kuruluş, güvenlik altyapılarının kritik bir parçası olarak Wazuh’u tercih etmektedir. Fakat son güncel güvenlik danışmanlığı raporlarına göre, Wazuh sunucularının API katmanında yer alan deserialization (nesne seri hale getirme) sürecinde ortaya çıkan bir zafiyet, saldırganların hedef sistemlerde arka kapı açmasına olanak tanımaktadır.
Teknik Analiz
Açığın Temel Sebebi: Unsafe Deserialization
CVE-2025-24016 açığı, Wazuh sunucusunun API katmanında bulunan “unsafe deserialization” (güvensiz nesne seri hale getirme) hatasından kaynaklanmaktadır. Bu durum, API üzerinden gönderilen verilerin, yeterli doğrulama veya filtreleme mekanizmalarına tabi tutulmadan doğrudan deserialize edilmesiyle meydana gelmektedir.
Bu tür bir zafiyet, saldırganların kötü niyetli olarak yapılandırılmış veriler göndererek, beklenmeyen kod parçacıklarının sunucu ortamında çalıştırılmasına yol açar. Dolayısıyla, saldırganlar sadece API erişimine sahip olmaları halinde, sistem üzerinde kontrol sahibi olabilmektedir.
Saldırı Yöntemleri ve Etki Alanı
Danışmanlık raporunda belirtildiği üzere, bu açık; API erişimi olan herkes tarafından tetiklenebilir. Yani:
- Kompromize edilmiş Dashboard: Eğer bir saldırgan, Wazuh’un yönetim paneline erişim sağlayabiliyorsa,
- Küme (cluster) içindeki Wazuh sunucuları: Sistem içinde yer alan diğer sunucular üzerinden,
- Hatta belirli konfigürasyonlarda, Kompromize edilmiş Agent: Saldırgan, ajan (agent) üzerinden de bu açığı tetikleyebilmektedir.
Bu durum, sistem yöneticilerinin sadece merkezi sunucuyu değil, tüm yapılandırılmış bileşenleri göz önünde bulundurmalarını gerektirmektedir.
Proof-of-Concept (PoC) Örneği
Güvenlik danışmanlığı raporunda yer alan PoC örneği, saldırganın Wazuh API’sını kötüye kullanarak master sunucuyu kapatabileceğini göstermektedir. Örnek komut şu şekildedir:
curl -X POST -k -u "wazuh-wui:MyS3cr37P450r.*-" -H "Content-Type: application/json" --data '{"__unhandled_exc__":{"__class__": "exit", "__args__": []}}' https://<worker-server>:55000/security/user/authenticate/run_as
Bu komut, hedef sunucuya gönderilen özelleştirilmiş JSON verisi ile, API’nin deserialize mekanizmasını istismar ederek sunucunun anında kapanmasına neden olmaktadır. Açığın, sistemin temel konfigürasyonu altında ne kadar kolay tetiklenebileceği ve ne ciddi sonuçlara yol açabileceği, bu örnekle açıkça ortaya konulmaktadır.
Güncelleme ve Mitigasyon Önerileri
Yazılım Güncellemesi
Wazuh, bu kritik açığı gidererek versiyon 4.9.1’te güncelleme yapmıştır. Sistem yöneticilerinin derhal ilgili güncellemeyi uygulamaları, açığın potansiyel risklerini minimize etmek adına en önemli adımdır.
API Erişim ve Konfigürasyon Güvenliği
Açığın tetiklenebilmesi için API erişimine ihtiyaç duyulması sebebiyle, aşağıdaki güvenlik önlemlerinin alınması önerilmektedir:
- API Erişim İzinlerinin Sıkılaştırılması: Yetkisiz erişimin önüne geçmek için, API erişim izinlerinin gözden geçirilip, sadece gerekli kullanıcıların erişimine izin verilmelidir.
- Agent Konfigürasyonlarının Güçlendirilmesi: Özellikle, güvenlik açığının ajanlar üzerinden tetiklenebilme ihtimaline karşı, ajan konfigürasyonları detaylı olarak incelenmeli ve gerekli sertleştirme adımları uygulanmalıdır.
- Güvenlik Duvarı ve İzleme Sistemleri: API çağrıları ve olağan dışı aktivitelerin tespit edilmesi için, ek güvenlik duvarı kuralları ve izleme sistemlerinin entegre edilmesi, saldırı tespit sürecini hızlandıracaktır.
Root Cause’a Odaklanma
Açığın giderilmesi sırasında sadece veri sanitizasyonuna (temizleme) odaklanmamak, aynı zamanda temel nedenin ortadan kaldırılmasına yönelik köklü çözümlerin uygulanması kritik öneme sahiptir. Bu, gelecekte benzer türdeki zafiyetlerin ortaya çıkma riskini azaltacaktır.
Sonuç
CVE-2025-24016 açığı, Wazuh sunucularında bulunan ve ciddi sonuçlar doğurabilecek kritik bir uzaktan kod çalıştırma açığı olarak dikkat çekmektedir. Güvensiz deserialization süreci üzerinden gerçekleşen bu istismar, saldırganların sistem üzerinde tam kontrol sağlamasına olanak tanımaktadır.
Güncel güvenlik danışmanlığı raporları, açığın PoC örneğiyle somut bir tehdit oluşturduğunu ortaya koyarken, sistem yöneticilerinin:
- Hemen Wazuh versiyon 4.9.1’e güncelleme yapmaları,
- API erişim izinlerini yeniden gözden geçirmeleri,
- Agent konfigürasyonlarını güçlendirmeleri ve
- Kök nedenin giderilmesine yönelik kalıcı çözümler üretmeleri büyük önem taşımaktadır.
Açığın ciddiyeti ve sağladığı geniş etki alanı göz önüne alındığında, ilgili tüm sistemlerin bu konuda acil önlemlerle güvence altına alınması gerekmektedir.
About the Author
