AI SECURITY logo AI SECURITY
Background
Wazuh Vulnerabilidades CVE ISO 27001 ENS Compliance Ciberseguridad

Panel Vulnerability Detection en Wazuh: Cumple ISO 27001 y ENS

Configura el detector de vulnerabilidades de Wazuh para identificar CVEs en tu infraestructura. Cumple ISO 27001 A.8.8 y ENS op.exp.6 con escaneo continuo.

AI Security
10 min lectura
Background

Introducción

El panel Vulnerability Detection de Wazuh cruza el software instalado en tus sistemas contra bases de datos CVE para detectar vulnerabilidades conocidas. Viene habilitado por defecto pero se puede personalizar tanto en servidor como en agentes.

Video: Panel Vulnerability Detection
Contenido del curso

Video: Vulnerability Detection

12 minutos - Configuración y caso práctico CVE

Ver en el Curso Wazuh

Accede al video completo con el curso de Wazuh

Marco normativo: Por qué es obligatorio

ISO 27001 - Control A.8.8

Gestión de vulnerabilidades técnicas: Las organizaciones deben identificar las vulnerabilidades técnicas de sus sistemas de información, evaluar su exposición y tomar las medidas apropiadas. No es opcional, es un control explícito del Anexo A.

Importante: No basta con tener un escáner de vulnerabilidades que ejecutéis una vez al año. La norma exige un proceso continuo y documentado.

ENS - Medidas op.exp.6 y op.exp.3

op.exp.6 (Protección frente a código dañino): Protección activa contra vulnerabilidades explotables.

op.exp.3 (Gestión de seguridad): Exige mantener un inventario actualizado del software instalado y sus versiones, precisamente para cruzarlo contra bases de datos de vulnerabilidades. En ENS categoría media, este control es de obligado cumplimiento.

Configuración en el Servidor (Manager)

La detección de vulnerabilidades viene habilitada por defecto. En /var/ossec/etc/ossec.conf del manager puedes personalizar: 

<vulnerability-detector>
  <enabled>yes</enabled>
  <interval>5m</interval>
  <min_full_scan_interval>6h</min_full_scan_interval>
  <run_on_start>yes</run_on_start>
</vulnerability-detector>

Parámetros:

  • interval: Frecuencia de comprobación de nuevos paquetes
  • min_full_scan_interval: Intervalo mínimo entre escaneos completos
  • run_on_start: Ejecutar escaneo al iniciar el servicio

Configuración en el Agente

En los agentes, el módulo de inventario de software viene habilitado por defecto. Envía la lista de paquetes instalados al manager, que los cruza contra las bases de datos CVE.

Se puede personalizar qué paquetes escanear o excluir determinados directorios del análisis editando el ossec.conf del agente.

Caso práctico: CVE-2025-15467 (OpenSSL)

En el video detectamos automáticamente una vulnerabilidad crítica en OpenSSL. El panel muestra:

  • CVE ID: CVE-2025-15467
  • Severidad: Crítica
  • Paquete afectado: openssl
  • Versión vulnerable: instalada en el sistema
  • Solución: Actualizar a versión parcheada

Solución: Actualizar OpenSSL

apt update && apt upgrade -y openssl libssl3t64 openssl-provider-legacy

Tras la actualización, Wazuh verificará en el siguiente escaneo que la vulnerabilidad ya no aplica y la marcará como resuelta.

Qué información aporta el panel

El panel Vulnerability Detection muestra:

  • Total de vulnerabilidades por agente y severidad
  • CVE ID con enlace a la base de datos nacional
  • CVSS Score: Puntuación de severidad
  • Paquete y versión afectados
  • Fecha de detección
  • Estado: Activa, resuelta o ignorada

Resumen de compliance

Normativa Control Requisito
ISO 27001 A.8.8 Gestión de vulnerabilidades técnicas continua
ENS op.exp.6 Protección frente a código dañino
ENS op.exp.3 Inventario de software actualizado

Próximos pasos

En el curso de Wazuh cubrimos más paneles como Configuration Assessment, Malware Detection y Threat Hunting. Accede al curso completo.

Background
Volver al blog