Zwei Mirai-Botnetze, Lzrd und Resgod, nutzen Wazuh-Sicherheitslücke aus

Cybersicherheitsexperten bei Akamai haben eine neue Bedrohung entdeckt: Zwei separate Botnetze nutzen aktiv einen kritischen Fehler in der Sicherheitssoftware Wazuh , einer Open-Source-XDR- und SIEM-Lösung, um die Mirai-Malware zu verbreiten.

Diese Sicherheitslücke ( CVE-2025-24016 ) betrifft die Wazuh-Versionen 4.4.0 bis 4.9.0 und wurde in Version 4.9.1 behoben. Angreifer können nun ihren eigenen Code auf einem Zielserver ausführen, indem sie eine speziell gestaltete Anfrage über die Wazuh-API senden. So können sie die Kontrolle über betroffene Server aus der Ferne übernehmen.

Es ist erwähnenswert, dass dies das erste Mal ist, dass über aktive Angriffe unter Ausnutzung dieser Sicherheitslücke berichtet wurde. Dies unterstreicht einen besorgniserregenden Trend, bei dem Cyberkriminelle neu entdeckte Schwachstellen schnell als Werkzeuge für ihre Kampagnen einsetzen.

Der technische Bericht , der Hackread.com vorliegt, enthüllt, dass das Security Intelligence and Response Team (SIRT) von Akamai erstmals im März 2025 verdächtige Aktivitäten in seinem globalen Honeypot-Netzwerk bemerkte, nur wenige Wochen nachdem der Fehler im Februar 2025 öffentlich gemacht wurde.

Das Team identifizierte zwei verschiedene Botnetze, die diesen Exploit ausnutzten. Das erste Botnetz startete seine Angriffe Anfang März und nutzte die Schwachstelle, um ein schädliches Skript herunterzuladen und auszuführen. Dieses Skript greift dann die Mirai-Malware an, die darauf ausgelegt ist, eine Vielzahl von IoT-Geräten zu infizieren.

Diese Mirai-Varianten, die manchmal morte genannt werden, sind an einer eindeutigen Meldung erkennbar, die sie anzeigen, beispielsweise lzrd here ). Bei diesen ersten Angriffen wurden dieselben Autorisierungsdetails wie bei einem öffentlich verfügbaren Proof of Concept (PoC)-Exploit verwendet, was bedeutet, dass die Angreifer bekannte Informationen schnell adaptierten.

Das zweite Botnetz tauchte Anfang Mai 2025 auf und verbreitete ebenfalls eine Mirai-Variante namens „resgod“. Dieses Botnetz erregte Aufmerksamkeit, weil die zugehörigen Online-Adressen ( Domains ) italienisch klingende Namen trugen, wie beispielsweise gestisciweb.com “, was so viel wie „Web verwalten“ bedeutet. Dies könnte darauf hindeuten, dass die Angreifer gezielt Geräte italienischsprachiger Nutzer ins Visier nehmen. Die „resgod“-Malware selbst trägt die klare Botschaft: „Resentual hat dich erwischt!“

Obwohl die Wazuh-Sicherheitslücke im Fokus steht, beschränkten sich die Botnetze nicht nur darauf. Akamai beobachtete, wie diese böswilligen Gruppen versuchten, mehrere andere bekannte Sicherheitslücken auszunutzen. Dazu gehörten ältere Schwachstellen in Systemen wie Hadoop YARN, TP-Link Archer AX21-Routern ( CVE-2023-1389 ), Huawei HG532-Routern ( CVE-2017-17215 ) und ZTE ZXV10 H108L-Routern ( CVE-2017-18368 ). Dies zeigt, dass die Angreifer einen breit angelegten Ansatz verfolgen und versuchen, Systeme über jede verfügbare Schwachstelle zu infizieren.

Der Akamai-Bericht warnt, dass es für Kriminelle nach wie vor relativ einfach ist, alten Schadcode für den Aufbau neuer Botnetze zu verwenden. Die Geschwindigkeit, mit der diese Wazuh-Sicherheitslücke nach ihrer Bekanntgabe ausgenutzt wurde, unterstreicht, wie wichtig es für Unternehmen ist, Sicherheitspatches so schnell wie möglich zu installieren.

Im Gegensatz zu einigen Schwachstellen, die nur veraltete Geräte betreffen, zielt CVE-2025-24016 speziell auf aktive Wazuh-Server ab, sofern diese nicht aktualisiert werden. Akamai empfiehlt allen Nutzern dringend, auf Wazuh Version 4.9.1 oder höher zu aktualisieren, um ihre Systeme zu schützen.