CVE-2025-68428 in Wazuh 4.14.1: Umgang mit verwundbaren Dashboard-Abhängigkeiten und realistische Mitigations

von

Einleitung

Regelmäßige Schwachstellenscans von Infrastruktur- und Security-Komponenten sind Best Practice – und führen nicht selten zu Befunden in Drittbibliotheken. Besonders sensibel ist dies bei SIEM-Frontends wie dem Wazuh Dashboard, da hier potenziell sicherheitskritische Interaktionen zwischen Backend, Dateisystem und Benutzeroberfläche stattfinden. Dieser Beitrag beleuchtet den Umgang mit CVE-2025-68428 in Wazuh v4.14.1, erklärt die architektonischen Hintergründe und zeigt, welche Maßnahmen aktuell realistisch und verantwortbar sind.

Ausgangslage / Problemstellung

In einer Wazuh-Installation mit Version 4.14.1 meldet ein Vulnerability Scanner eine kritische bzw. hohe Schwachstelle:

  • CVE-2025-68428
  • Betroffene Bibliothek: jspdf 3.0.1
  • Fundort:
    /usr/share/wazuh-dashboard/plugins/reportsDashboards/yarn.lock

Die Kernfragen lauten:

  • Gibt es Patches oder aktualisierte Pakete für Wazuh 4.x?
  • Kann die Bibliothek manuell entfernt werden?
  • Besteht ein reales Sicherheitsrisiko im Kontext des Wazuh Dashboards?

Technische Analyse

Um den Befund korrekt einzuordnen, ist die Architektur des Wazuh Dashboards entscheidend.

Abhängigkeit von OpenSearch Dashboards
In allen Wazuh 4.x Versionen wird das Dashboard-Reporting-Plugin vollständig von OpenSearch Dashboards bereitgestellt und verwaltet. Das bedeutet:

  • Der Code des Plugins (inkl. Frontend-Abhängigkeiten wie jspdf) liegt außerhalb der direkten Kontrolle von Wazuh
  • Wazuh übernimmt den Plugin-Code unverändert aus dem OpenSearch-Ökosystem
  • Sicherheitsfixes für diese Komponenten können nicht isoliert in Wazuh 4.x gepatcht werden

Status der Schwachstelle
Die zugrunde liegende Schwachstelle in jspdf wurde upstream durch OpenSearch bereits adressiert. Dieser Fix ist jedoch erst in neueren Versionen des OpenSearch Dashboards enthalten und somit nicht rückportiert in die aktuell verfügbaren Wazuh-4.x-Releases.

Auswirkungen auf Wazuh 5.0.0
Ab Wazuh 5.0.0 (derzeit in Entwicklung) ändert sich die Architektur:

  • Das Reporting-Plugin wird von Wazuh selbst verwaltet
  • Die betroffene Schwachstelle ist dort bereits behoben
  • CVE-2025-68428 tritt in dieser Version nicht mehr auf

Lösung / Best Practices

Kein Patch für Wazuh 4.14.1 verfügbar
Für Wazuh 4.x existiert aktuell:

  • kein offizieller Patch
  • kein aktualisiertes Paket
  • kein rückportierter Fix für diese CVE

Manuelles Entfernen der Bibliothek: nicht empfohlen
Das Entfernen oder Manipulieren von jspdf oder anderen Yarn-Abhängigkeiten im Plugin-Verzeichnis ist nicht supportet und birgt erhebliche Risiken:

  • Bruch der Reporting-Funktionalität
  • Inkonsistenzen bei Updates oder Rebuilds
  • Unvorhersehbares Verhalten des Dashboards

Mögliche Workarounds (risikobasiert)
Bis eine offizielle Bewertung und Handlungsempfehlung vorliegt, sind folgende Maßnahmen praktikabel:

  1. Einschränkung des Zugriffs auf das Wazuh Dashboard
    • Nur authentifizierte, vertrauenswürdige Benutzer
    • Kein direkter Internet-Zugriff
    • Nutzung interner Netze oder VPN
  2. Deaktivierung des Reporting-Plugins (falls betrieblich vertretbar)
    • Reduziert die potenzielle Angriffsfläche
    • Muss sorgfältig getestet werden
    • Kann Reporting- und Export-Funktionen beeinträchtigen
  3. Monitoring und Awareness
    • Befund dokumentieren und akzeptieren (Risk Acceptance)
    • Scanner-Ergebnisse entsprechend kommentieren
    • Entwicklung von Wazuh 5.x aktiv verfolgen

Parallel dazu wurde das Thema an das Wazuh Security Team eskaliert, um:

  • die tatsächliche Ausnutzbarkeit im Wazuh-Kontext zu bewerten
  • mögliche Workarounds oder Empfehlungen zu definieren
  • bei Bedarf eine koordinierte Kommunikation an die Community sicherzustellen

Lessons Learned / Best Practices

  • Nicht jede gemeldete CVE ist im Zielkontext automatisch ausnutzbar
  • Drittanbieter-Plugins begrenzen Patch-Möglichkeiten erheblich
  • Manuelle Eingriffe in Dashboard-Abhängigkeiten sind hochriskant
  • Zugriffsbeschränkung ist oft die effektivste kurzfristige Mitigation
  • Architekturänderungen (wie in Wazuh 5.x) sind langfristig der saubere Lösungsweg

Gerade bei SIEM-Frontends ist eine saubere Risikoabwägung wichtiger als hektische „Fixes“, die die Plattform destabilisieren.

Fazit

CVE-2025-68428 betrifft in Wazuh 4.14.1 eine Drittbibliothek innerhalb eines von OpenSearch verwalteten Dashboard-Plugins. Für diese Version existiert derzeit kein Patch, und ein manuelles Entfernen der Bibliothek ist nicht empfohlen. Die Schwachstelle ist in Wazuh 5.0.0 bereits behoben. Bis dahin sollten Organisationen auf Zugangsbeschränkungen, bewusste Risikoakzeptanz oder – falls möglich – die temporäre Deaktivierung des betroffenen Plugins setzen und die weiteren Bewertungen des Wazuh Security Teams verfolgen.

Mehr zu Wazuh …
https://wazuh.com/?utm_source=ambassadors&utm_medium=referral&utm_campaign=ambassadors+program

Mehr zum Wazuh Ambassador Program …
https://wazuh.com/ambassadors-program/?utm_source=ambassadors&utm_medium=referral&utm_campaign=ambassadors+program

https://wazuh.slack.com/archives/C07CCCCGHHP/p1770381806385759