Akamai’deki güvenlik araştırmacıları, Wazuh sunucularında kritik bir uzaktan kod yürütme kırılganlığının aktif olarak kullanıldığını keşfettiler ve bu yılın başlarında kusurun açıklanmasından bu yana açık kaynaklı güvenlik platformuna karşı rapor edilen ilk saldırıları işaretledi.
Maksimum CVSS skoru 9.9 olan CVE-2025-24016 olarak izlenen güvenlik açığı, Wazuh sürüm 4.4.0 ila 4.9.0’ı etkiler ve API erişimi olan uzaktan saldırganların kötü niyetli JSON dosyaları aracılığıyla keyfi kod yürütmesini sağlar.
Akamai Güvenlik İstihbaratı ve Müdahale Ekibi (SIRT), güvenlik açığının Şubat ayında ilk açıklamasından sadece haftalar sonra Mart 2025’in sonlarında küresel Honeypot ağlarındaki sömürü girişimlerini belirledi.
.png
)
Kusur, Wazuh’un yönetici paketinde, özellikle Dağıtımlı Dağıtımda, parametrelerin JSON olarak serileştirildiği ve daha sonra seansize edildiği güvenli olmayan seansizasyondan kaynaklanmaktadır. as_Wazuh_object işlev. Saldırganlar bunu, DAPI taleplerine tehlikeye girmeyen sözlükleri enjekte ederek yararlanarak keyfi Python kodunun değerlendirilmesine yol açar.
Saldırılar, Şubat 2025’in sonlarında yayınlanan ve /security/user/authenticate/run_as kötü amaçlı yüklerle bitiş noktası __unhandled_exc__ istisna. Ancak araştırmacılar, farklı bir uç noktaya karşı girişimleri de gözlemlediler, /Wazuh Saldırganların tekniklerini uyarladığını öne sürüyorlar.
İki farklı botnet kampanyası
Akamai, Mirai kötü amaçlı yazılım varyantlarını dağıtmak için bu güvenlik açığından yararlanan iki ayrı botnet belirledi. Mart ayının başından beri aktif olan ilk kampanya, öncelikle Nesnelerin İnterneti (IoT) cihazlarında kullanılan çoklu cihaz mimarilerini hedefleyen “Morte” adlı “LZRD Mirai varyantlarını” konuşlandırıyor. Bu numuneler sert kodlanmış konsol dizesi “LZRD burada” ile tanımlanabilir.
Mayıs 2025’in başlarında keşfedilen ikinci Botnet, “Resbot/Özen” işlemiyle ilişkili “Resgod” adlı kötü amaçlı yazılımları dağıtır. Bu kampanya, “Gestisciweb[.]com, ”, İtalyanca konuşan kullanıcıların veya altyapının hedeflenmesini potansiyel olarak gösteren“ Web’i Yönet ”anlamına geliyor.
Her iki botnet de wazuh güvenlik açığının ötesinde sofistike operasyonlar sergiliyor. İlk kampanya, nuklearcnc.duckdns.org ve cbot.galaxias.cc dahil olmak üzere komut ve kontrol alanlarına bağlanır ve değiştirilmiş V3G4 sürümleri de dahil olmak üzere çeşitli Mirai varyantları içeren ilişkili kötü amaçlı yazılım örnekleri.
Saldırganlar kendilerini sadece wazuh güvenlik açığı ile sınırlamıyorlar. Araştırmacılar, TP-bağlantı okçu AX21 yönlendiricilerini etkileyen CVE-2023-1389, Huawei HG532 cihazlarını hedefleyen CVE-2017-17215 de dahil olmak üzere bilinen birçok güvenlik açıklarına karşı sömürü girişimleri gözlemlediler.
Aylarca halka açık olmasına rağmen, CVE-2025-24016, CISA’nın bilinen sömürülen güvenlik açığı kataloğuna henüz eklenmedi, bu da Akamai’nin bulgularını aktif sömürünün ilk doğrulanmış raporu haline getirdi.
Hızlı silahlandırma, BOTNET operatörlerinin yeni açıklanan güvenlik açıkları için sürdürdüğü kısaltılmış sınırlandırma zaman çizelgelerinin devam eden eğilimini göstermektedir.
Tipik olarak yaşam sonu cihazlarını etkileyen birçok IoT odaklı güvenlik açıkından farklı olarak, bu kusur, modası geçmiş sürümleri çalıştıran aktif wazuh sunucularını etkiler ve bu da özellikle kurumsal ortamlarla ilgilidir.
Wazuh’u kullanan kuruluşların, gerekli güvenlik düzeltmelerini içeren 4.9.1 veya daha sonraki sürümlere hemen yükseltmeleri şiddetle tavsiye edilir.
Keşif, Mirai merkezli botnetlerin devam eden evriminin ve operatörlerinin yeni istismarları saldırı altyapılarına hızla dahil etme yeteneğinin altını çizerek kurumsal ortamlarda zamanında güvenlik yamasının kritik önemini vurgulamaktadır.
Yapay zeka ile çalışan nex-nesil kötü amaçlı yazılım koruması mı arıyorsunuz? – Kötü amaçlı yazılım koruması artı ücretsiz indirin