Dwa botnety Mirai, Lzrd i Resgod, zauważone wykorzystujące lukę w Wazuh

Eksperci ds. cyberbezpieczeństwa z Akamai odkryli nowe zagrożenie: dwa niezależne botnety aktywnie wykorzystują krytyczną lukę w oprogramowaniu zabezpieczającym Wazuh , będącym rozwiązaniem typu open source XDR i SIEM, w celu rozprzestrzeniania złośliwego oprogramowania Mirai.

Ta luka w zabezpieczeniach, oznaczona numerem CVE-2025-24016 , dotyczy wersji Wazuh od 4.4.0 do 4.9.0 i została naprawiona w wersji 4.9.1. Umożliwia ona atakującym uruchomienie własnego kodu na serwerze docelowym poprzez wysłanie specjalnie spreparowanego żądania za pośrednictwem interfejsu API Wazuh, co pozwala im na zdalne przejęcie kontroli nad serwerami, których dotyczy luka.

Warto zauważyć, że jest to pierwszy raz, kiedy odnotowano aktywne ataki wykorzystujące tę lukę, co wskazuje na niepokojącą tendencję polegającą na tym, że cyberprzestępcy szybko wykorzystują nowo odkryte luki jako narzędzia w swoich kampaniach.

Raport techniczny udostępniony serwisowi Hackread.com ujawnia, że ​​zespół ds. bezpieczeństwa i reagowania (SIRT) firmy Akamai po raz pierwszy wykrył podejrzaną aktywność w globalnej sieci honeypotów w marcu 2025 r., zaledwie kilka tygodni po tym, jak w lutym 2025 r. ujawniono lukę w zabezpieczeniach.

Zespół zidentyfikował dwa odrębne botnety wykorzystujące ten exploit. Pierwszy botnet rozpoczął ataki na początku marca, wykorzystując lukę w zabezpieczeniach do pobrania i uruchomienia złośliwego skryptu. Skrypt ten następnie ściąga główne złośliwe oprogramowanie Mirai , które jest przeznaczone do infekowania szerokiej gamy urządzeń Internetu rzeczy (IoT).

Te warianty Mirai, czasami nazywane morte , można zidentyfikować po unikalnym komunikacie, który wyświetlają, takim jak lzrd here . Te początkowe ataki wykorzystywały te same szczegóły autoryzacji, co publicznie dostępny exploit proof of concept (PoC), co oznacza, że ​​atakujący szybko dostosowali znane informacje.

Drugi botnet pojawił się na początku maja 2025 r. i również rozprzestrzeniał wariant Mirai o nazwie resgod. Ten botnet przykuł uwagę, ponieważ jego powiązane adresy internetowe ( domeny ) zawierały nazwy brzmiące po włosku, takie jak gestisciweb.com , co oznacza zarządzaj siecią. Może to sugerować, że atakujący próbują celować konkretnie w urządzenia należące do użytkowników włoskojęzycznych. Samo złośliwe oprogramowanie resgod niesie jasny komunikat: „Resentual cię dorwał!”

Chociaż luka Wazuh jest głównym celem, botnety nie ograniczały się do niej. Akamai zaobserwował, że te złośliwe grupy próbowały wykorzystać kilka innych znanych luk w zabezpieczeniach. Obejmowały one starsze luki w systemach, takich jak Hadoop YARN, routery TP-Link Archer AX21 ( CVE-2023-1389 ), routery Huawei HG532 ( CVE-2017-17215 ) i routery ZTE ZXV10 H108L ( CVE-2017-18368 ). Pokazuje to, że atakujący stosują szerokie podejście, próbując zainfekować systemy poprzez wszelkie dostępne słabości.

Raport Akamai ostrzega, że ​​przestępcy nadal stosunkowo łatwo wykorzystują stary kod złośliwego oprogramowania do tworzenia nowych botnetów. Szybkość, z jaką ta luka Wazuh została wykorzystana po jej ujawnieniu, podkreśla, jak ważne jest dla organizacji stosowanie poprawek bezpieczeństwa, gdy tylko staną się dostępne.

W przeciwieństwie do niektórych luk, które dotyczą tylko przestarzałych urządzeń, CVE-2025-24016 dotyczy konkretnie aktywnych serwerów Wazuh, jeśli nie są aktualizowane. Akamai zdecydowanie zaleca wszystkim użytkownikom aktualizację do wersji Wazuh 4.9.1 lub nowszej w celu ochrony swoich systemów.