Akamai Güvenlik İstihbarat ve Müdahale Ekibi (SIRT), CVSS skoru 9.9 ile CVE-2025-24016 olarak tanımlanan Wazuh sunucularında kritik bir uzaktan kumanda yürütme (RCE) güvenlik açığının aktif olarak kullanılmasını ortaya çıkarmıştır.
Şubat 2025’te açıklanan bu güvenlik açığı, Wazuh sürümlerini 4.4.0’dan 4.9.0’a etkiler ve dağıtılmış API (DAPI) isteklerinde güvenli olmayan seansizasyondan kaynaklanmakta ve saldırganların kötü niyetli JSON yükleri aracılığıyla keyfi Python kodu yürütmesine izin vermektedir.
Botnets tarafından CVE-2025-24016’nın hızlı sömürülmesi
Akamai ilk olarak Mart 2025’te küresel Honeypot ağları aracılığıyla sömürü girişimlerini tespit etti ve CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna henüz eklenmemiş olan bu kusurun ilk aktif istismarını işaretledi.
.png
)
Wazuh 4.9.1’de yamalı kusur, öncelikle Nesnelerin İnterneti (IoT) cihazlarını hedefleyen kötü şöhretli Mirai kötü amaçlı yazılımların varyantlarını yaymak için iki farklı botnet tarafından silahlandırıldı.
Akamai tarafından gözlemlenen sömürü kampanyaları, sofistike bir tehdit manzarasını ortaya koyuyor.
Mart 2025’in başından beri aktif olan ilk Botnet, LZRD türevleri olarak tanımlanan “Morte” gibi Mirai varyantlarını dağıtmak için/güvenlik/kullanıcı/run_as son noktasını hedefleyen halka açık bir kavram kanıtı (POC) sömürüsünü yansıtır.
Bu yükler, nuklearcnc.dickdns gibi komut ve kontrol (C2) alanlarına bağlı 176.65.134.62 gibi IP’lerden birden çok mimariyi ve kötü niyetli kabuk komut dosyalarını destekliyor[.]Org.
Çok Vulnerable Kampanyaları
Mayıs 2025’te /wazuh uç noktasını “Resgod” adı verilen yüklerle hedefleyen “Resbot” veya “Özen” olarak adlandırılan ikinci bir botnet ortaya çıktı.
Özellikle, Gestisciweb gibi ilişkili alanları[.]com, potansiyel olarak coğrafi olarak hedeflenen bir kampanyayı gösteren İtalyan isimlendirme özelliği.
Her iki botnet de sadece CVE-2025-24016’dan değil, aynı zamanda CVE-2023-1389 (TP-Link Archer AX21) ve CVE-2017-17215 (Huawei HG532) gibi diğer bilinen güvenlik açıklarından da yararlanmaktadır.
Rapora göre, bu wazuh kusurunun hızlı silahlanması, açıklamadan sonraki haftalar içinde, daraltma süresi penceresinin altını çiziyor ve sürüm 4.9.1 veya üstüne zamanında yamalama için kritik ihtiyaç, daha eski wazuh dağıtımları şiddetli uzlaşma riski altında kalıyor.
Kuruluşlar, sağlanan Snort ve Yara kurallarını, hemen savunmasız wazuh örneklerini kullanarak bu IOC’leri izlemeleri ve açıklanan güvenlik açıkları ve POC’lerden yararlanan ortaya çıkan tehditler için uyanık kalmaları istenir.
Akamai SIRT bu botnetleri izlemeye devam ediyor ve en son tehdit istihbaratı için araştırma güncellemelerini izlemeyi teşvik ediyor.
Uzlaşma Göstergeleri (IOCS)
Aşağıda, savunucuların bu tehditleri tanımlamasına ve azaltmasına yardımcı olmak için Akamai SIRT tarafından sağlanan IOC’lerin özetli bir tablosu bulunmaktadır:
| Tip | Botnet 1 | Botnet 2 |
|---|---|---|
| Kötü niyetli IPS | 209.141.34.106, 176.65.142.137, 65.222.202.53, 196.251.86.49, 176.65.134.62 | 104.168.101.27, 104.168.101.23, 79.124.40.46, 194.195.90.179 |
| Kötü niyetli alanlar | nuclearcnc.Duckdns[.]Org, Jimmyudp-Raw[.]XYZ, PANGACNC[.]com, neon.galaxias[.]CC, cbot.galaxias[.]CC | yeniden yerleştirmek[.]Çevrimiçi, Versioneonline[.]com, gestisciweb[.]com (ve diğerleri) |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.