Akamai’deki siber güvenlik uzmanları yeni bir tehdit ortaya çıkardı: İki ayrı botnet, Mirai kötü amaçlı yazılımları yaymak için Wazuh güvenlik yazılımında, açık kaynak XDR ve SIEM çözümünde kritik bir kusurdan yararlanıyor.
CVE-2025-24016 olarak izlenen bu güvenlik açığı, Wazuh sürümlerini 4.4.0 ila 4.9.0 etkiler ve o zamandan beri 4.9.1 sürümünde sabitlenmiştir. Wazuh’un API’sı aracılığıyla özel olarak hazırlanmış bir istek göndererek saldırganların kendi kodlarını bir hedef sunucuda çalıştırmasına izin verir, böylece saldırganların etkilenen sunucuların kontrolünü uzaktan ele geçirmelerine izin verir.
Bunun ilk kez bu güvenlik açığını kullanan aktif saldırıların rapor edildiğini belirtmek gerekir ve siber suçluların yeni keşfedilen kusurları hızla kampanyaları için araçlara dönüştürdüğü bir eğilimi vurgulamaktadır.
İki botnet, bir hedef
Hackread.com ile paylaşılan teknik rapor, Akamai’nin Güvenlik İstihbarat ve Müdahale Ekibi’nin (SIRT), Şubat 2025’te kamuya açıklanmasından sadece haftalar sonra Mart 2025’te küresel Honeypot ağlarında şüpheli etkinlik fark ettiğini ortaya koyuyor.
Ekip, bu istismardan yararlanan iki farklı botnet belirledi. İlk Botnet, kötü amaçlı bir senaryo indirmek ve çalıştırmak için güvenlik açığını kullanarak saldırılarına Mart ayı başlarında başladı. Bu komut dosyası daha sonra çok çeşitli Nesnelerin İnterneti (IoT) cihazlarına bulaşacak şekilde tasarlanmış ana Mirai kötü amaçlı yazılımları çeker.
Bu Mirai varyantları, bazen mortegösterdikleri benzersiz bir mesajla tanımlanabilir, örneğin lzrd here. Bu ilk saldırılar, halka açık bir kavram kanıtı (POC) istismarıyla aynı yetkilendirme ayrıntılarını kullandı, yani saldırganlar bilinen bilgileri hızlı bir şekilde uyarladı.
İkinci Botnet, Mayıs 2025’in başlarında ortaya çıktı ve Resgod adlı bir Mirai varyantı da yayıldı. Bu botnet dikkat çekti çünkü ilişkili çevrimiçi adresleri (alan adları), gestisciweb.comyani web’i yönetmek anlamına gelir. Bu, saldırganların özellikle İtalyanca konuşan kullanıcıların sahip olduğu cihazları hedeflemeye çalıştığını gösterebilir. Resgod kötü amaçlı yazılımın kendisi açık mesajı taşıyor:
Wazuh’un ötesinde: diğer sömürülen kusurlar
Wazuh güvenlik açığı birincil odak noktası olsa da, botnetler bununla sınırlı değildi. Akamai, bu kötü niyetli grupların diğer tanınmış güvenlik kusurlarını kullanmaya çalıştığını gözlemledi. Bunlar arasında Hadoop İpliği, TP-Link Archer AX21 yönlendiricileri (CVE-2023-1389), Huawei HG532 yönlendiricileri (CVE-2017-17215) ve ZTE ZXV10 H108L yönlendiricileri (CVE-2017-18368) gibi sistemlerde eski güvenlik açıkları vardı. Bu, saldırganların mevcut herhangi bir zayıflık yoluyla sistemleri enfekte etmeye çalışarak geniş bir yaklaşım kullandıklarını göstermektedir.
Akamai’nin raporu, suçluların yeni botnetler oluşturmak için eski kötü amaçlı yazılım kodunu yeniden kullanmalarının nispeten kolay kaldığı konusunda uyarıyor. Bu wazuh kusurunun açıklanmasından sonra kullanılma hızı, kuruluşların mevcut olur olmaz güvenlik yamalarını uygulamalarının ne kadar kritik olduğunu vurgulamaktadır.
Yalnızca modası geçmiş cihazları etkileyen bazı güvenlik açıklarından farklı olarak, CVE-2025-24016 özellikle güncellenmemişse aktif Wazuh sunucularını hedefler. Akamai, tüm kullanıcılara sistemlerini korumak için Wazuh sürüm 4.9.1 veya üstüne yükseltmelerini şiddetle tavsiye eder.