Deux botnets Mirai, Lzrd et Resgod, ont été repérés exploitant la faille Wazuh

Les experts en cybersécurité d'Akamai ont découvert une nouvelle menace : deux botnets distincts exploitent activement une faille critique dans le logiciel de sécurité Wazuh , une solution XDR et SIEM open source, pour propager le malware Mirai.

Cette vulnérabilité, identifiée comme CVE-2025-24016 , affecte les versions 4.4.0 à 4.9.0 de Wazuh et a depuis été corrigée dans la version 4.9.1. Elle permet aux attaquants d'exécuter leur propre code sur un serveur cible en envoyant une requête spécialement conçue via l'API de Wazuh, leur permettant ainsi de prendre le contrôle des serveurs affectés à distance.

Il convient de noter que c'est la première fois que des attaques actives utilisant cette vulnérabilité sont signalées, ce qui met en évidence une tendance inquiétante selon laquelle les cybercriminels transforment rapidement les failles nouvellement découvertes en outils pour leurs campagnes.

Le rapport technique , partagé avec Hackread.com, révèle que l'équipe de renseignement et de réponse en matière de sécurité (SIRT) d'Akamai a remarqué pour la première fois une activité suspecte dans son réseau mondial de pots de miel en mars 2025, quelques semaines seulement après que la faille a été rendue publique en février 2025.

L'équipe a identifié deux botnets distincts exploitant cet exploit. Le premier a lancé ses attaques début mars, exploitant la vulnérabilité pour télécharger et exécuter un script malveillant. Ce script neutralise ensuite le principal malware Mirai , conçu pour infecter un large éventail d'appareils connectés à l'Internet des objets (IoT).

Ces variantes de Mirai, parfois appelées morte , sont identifiables par un message unique qu'elles affichent, comme lzrd here . Ces attaques initiales utilisaient les mêmes informations d'autorisation qu'un exploit de preuve de concept (PoC) accessible au public, ce qui signifie que les attaquants ont rapidement adapté les informations connues.

Le deuxième botnet est apparu début mai 2025, diffusant également une variante de Mirai appelée resgod. Ce botnet a attiré l'attention car ses adresses en ligne ( domaines ) associées comportaient des noms à consonance italienne, comme gestisciweb.com , qui signifie « gérer le web ». Cela pourrait suggérer que les attaquants ciblent spécifiquement les appareils appartenant à des utilisateurs italophones. Le malware resgod lui-même véhicule le message clair : « Resentual vous a eu ! »

Bien que la vulnérabilité Wazuh soit la cible principale des botnets, ceux-ci ne s'y sont pas limités. Akamai a observé que ces groupes malveillants tentaient d'exploiter plusieurs autres failles de sécurité bien connues. Parmi celles-ci figuraient d'anciennes vulnérabilités dans des systèmes tels que Hadoop YARN, les routeurs TP-Link Archer AX21 ( CVE-2023-1389 ), les routeurs Huawei HG532 ( CVE-2017-17215 ) et les routeurs ZTE ZXV10 H108L ( CVE-2017-18368 ). Cela montre que les attaquants utilisent une approche globale, cherchant à infecter les systèmes par la moindre faille.

Le rapport d'Akamai prévient qu'il reste relativement facile pour les criminels de réutiliser d'anciens codes malveillants pour créer de nouveaux botnets. La rapidité avec laquelle cette faille Wazuh a été exploitée après sa divulgation souligne l'importance pour les entreprises d'appliquer les correctifs de sécurité dès leur publication.

Contrairement à certaines vulnérabilités qui affectent uniquement les appareils obsolètes, la vulnérabilité CVE-2025-24016 cible spécifiquement les serveurs Wazuh actifs s'ils ne sont pas mis à jour. Akamai recommande vivement à tous les utilisateurs de mettre à niveau leurs systèmes vers la version 4.9.1 ou ultérieure de Wazuh.