Czy da się zhakować SIEM Wazuh?

Instalacja systemu SIEM jest jednym z kluczowych kroków w monitorowaniu bezpieczeństwa IT w organizacji. Wykorzystanie systemu Wazuh może pomóc w sprostaniu temu wyzwaniu. 

Wazuh pełni funkcje, m. in. monitorowania zdarzeń systemu, wykrywania i alarmowania zespołów ds. cyberbezpieczeństwa na wypadek wystąpienia podejrzanej aktywności. Choć sam w sobie nie posiada narzędzi prewencyjnych, to Wazuh można zintegrować z systemem XDR lub rozwiązaniem Shuffle SOAR. Wówczas staje się potężnym sprzymierzeńcem w wykrywaniu anomalii. Jednak, czy sam Wazuh może stać się celem ataku? W tym artykule sprawdzimy i ocenimy bezpieczeństwo systemu.

Pomimo zaawansowanych funkcji takich jak vulnerability detector, system Wazuh nie jest całkowicie odporny na ataki. Jednak, haker musi posiadać zaawansowane umiejętności, czyli, np. dobrze znać systemy operacyjne, na których działa Wazuh, potrafić pisać skrypty i mieć zdolność programowania, co może być kluczowe w automatyzacji ataków i eksploracji systemu. Musi też posiadać wiedzę na temat różnych typów luk w zabezpieczeniach, np. SQL, buffer overflow oraz umiejętność ich wykorzystywania.      

Jeśli już niestety włamie się do narzędzia, to ma kilka możliwości zafałszowania danych dostarczanych przez systemu Wazuh. 

Manipulacja logami to poważne zagrożenie dla bezpieczeństwa, ponieważ takie działanie tworzy fałszywy obraz sytuacji i odwraca uwagę od rzeczywistych działań intruza. Po włamaniu do systemu Wazuh haker może próbować modyfikować, usuwać lub dodawać wpisy w logach, aby ukryć ślady swojej działalności. 

Logi są domyślnie przechowywane w katalogach takich jak /var/ossec/logs/alerts i /var/ossec/archives lub innych lokalizacjach, które da się zidentyfikować w plikach konfiguracyjnych narzędzia. Jeśli haker sforsuje obronę i dobrze zna system Wazuh, może usunąć te pliki przy pomocy standardowych poleceń systemu operacyjnego, takich jak rm. Co więcej, Wazuh umożliwia automatyczne usuwanie logów. Zazwyczaj służy to do ustawienia harmonogramów, które będą regularnie usuwać stare logi zgodnie z wymaganiami prawnymi i regulacjami. Jednak, w rękach intruza taka funkcja może spowodować chaos. 

Haker może przejąć kontrolę nad systemem Wazuh, prowadząc ataki typu brute-force, czyli systematyczne zgadywanie haseł, loginów lub kluczy szyfrujących. Konkretnym celem atakującego może być serwer Wazuh, a dokładniej usługi takie jak SSH (Secure Shell). Okazuje się jednak, że Wazuh też jest nieźle przygotowany na tego typu sytuacje. 

Wazuh wykrywa i identyfikuje ataki brute-force poprzez analizę i korelacje logów z różnych źródeł, takich jak logi systemowe i logi aplikacji, aby wykryć wzorce wskazujące na próby takiego ataku. Reakcją Wazuha może być uruchomienie modułu aktywnej odpowiedzi, który pozwala na aktywowanie skryptów lub programów w odpowiedzi na określone zdarzenie. Jeśli Wazuh wykryje atak brute-force na SSH, uruchomi skrypt blokujący adres IP atakującego, np. po wykryciu reguły 5763 (SSH brute-force), moduł aktywnej odpowiedzi uruchomi skrypt firewall-drop, który zablokuje adres IP atakującego na określony czas.

Przykładowa konfiguracja aktywnej odpowiedzi może wyglądać w następujący sposób:

firewall-drop

    local

    5763

    180

Ataki MITM na agenty Wazuha

Jak zabezpieczyć Wazuh przed atakami hakerskimi?

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

I tak i nie. Racja, narzędzia służące do ochrony stanowią łakomy kąsek dla cyberprzestępców. Jednak, maszyny wirtualne z systemami chroniąco-monitorującymi często mają niższy priorytet jeśli chodzi o ochronę. Słabe hasła, brak aktualizacji, korzystanie z domyślnych ustawień, brak procedur związanych z identyfikacją i zarządzaniem podatnościami na tego typu systemach brane są pod uwagę jako poważna luka w systemie bezpieczeństwa organizacji. 

Dobrą praktyką jest swoisty rachunek sumienia jeśli chodzi o te elementy bezpieczeństwa IT. Niedopuszczalna jest również ekspozycja narzędzi z grupy offensive security – jak dedykowane do tego celu dystrybucje systemu Linux – w sieci produkcyjnej bez dostatecznej izolacji. Ekspozycja tego typu narzędzi w sieci może prowadzić do nieautoryzowanego dostępu do systemu. Hakerzy mogą próbować przejąć kontrolę nad samym systemem, aby wykorzystać go do skanowania i dalszych ataków na naszą i inne sieci lub urządzenia.  

Nawet jeśli system jest dobrze zabezpieczony, zawsze istnieje ryzyko, że ktoś znajdzie sposób na jego obejście. W ten sposób możemy stać się ofiarami naszej własnej broni. Jeśli zastosujemy się do dobrych praktyk cyberhigieny, instalacja systemu SIEM będzie dobrą decyzją.