Akamai araştırmacıları uyardı, iki Mirai botnet açık kaynaklı Wazuh XDR/SIEM platformunda kritik bir uzaktan kod yürütme kırılganlığı (CVE-2025-24016) kullanıyor.
Wazuh nedir?
Wazuh, ana bilgisayar tabanlı saldırı algılama, günlük analizi, dosya bütünlüğü izleme ve daha fazlası için yaygın olarak kullanılan popüler bir açık kaynak güvenlik bilgileri ve etkinlik yönetimi (SIEM) ve genişletilmiş algılama ve yanıt (XDR) çözümüdür.
Temel bileşenler:
- Wazuh Yöneticisi (sunucu bileşeni), verileri analiz eder ve uyarıları tetikler. Debian ve RHEL tabanlı işletim sistemlerine kurulacak
- Wazuh ajanıyönetici bileşenine veri toplar ve gönderir. Aracılar izlenmesi gereken uç noktalara kurulur
- Elasticsearch & Kibana güvenlik verilerinin indekslenmesi ve görselleştirilmesi kullanılır
CVE-2025-24016 Wazuh Manager 4.4.0 ila 4.9.0 sürümlerinde güvensiz bir seansizasyon güvenlik açığıdır.
Güvenlik danışmanlığı, “Güvenlik açığı, API erişimi olan herkes (tehlikeye atılmış gösterge tablosu veya kümedeki wazuh sunucuları) veya belirli yapılandırmalarda bile tehlikeye atılmış bir aracı tarafından bile tetiklenebilir” ve güvenlik açığının nasıl tetiklenebileceğini açıklar.
Kusurdan yararlanmak için saldırganların geçerli bir Wazuh API kullanıcısının kullanıcı adını ve şifresini alması gerekir.
Güvenlik açığı, Ekim 2024’te piyasaya sürülen Wazuh sürüm 4.9.1’de yamalandı ve kusurun varlığı Şubat 2025’te halka açıldı.
Mirai Botnets CVE-2025-24016’dan yararlanıyor
Akamai’ye göre, güvenlik açığının aktif olarak sömürülmesi Mart 2025’te başladı.
Güvenlik açığı, iki ayrı Mirai botnetini büyütmek için kullanılmaktadır. Kullanılan istismar, 21 Şubat’ta halka açık bir POC’ye dayanmaktadır ve Mirai kötü amaçlı yazılımların farklı varyantlarını indiren kötü amaçlı bir kabuk komut dosyası sunar ve yürütür.
Mayıs 2025’in başlarında Akamai, standart olmayan bir wazuh uç noktasını hedefleyen benzer şekilde yapılandırılmış bir talep kullanan başka bir Mirai Botnet’i tespit etti.
Akamai araştırmacıları, “Talepler POC ile neredeyse aynı olduğundan, uç noktanın yanı sıra, Botnet’in hala aynı wazuh güvenlik açığından yararlanmaya çalışması muhtemel” dedi.
İlk Botnet gibi, bu sömürü girişimlerinde sunulan Mirai yükleri, IoT cihazları için tipik çok çeşitli mimarileri hedefliyor.
İki botnet ayrıca Hadoop ipliği, eski TP-Link, ZTE, Huawei ve Zyxel yönlendiricilerindeki eski güvenlik açıklarından ve Realtek SDK’dan yararlanmaya çalışıyor.
Akamai araştırmacıları, bu saldırılar BOTNET operatörlerinin güvenlik açığı açıklamalarına sekmeleri tuttuğunu ve kamu POC istismar kodunu büyümek veya yeni botnetler oluşturmak için hızlı bir şekilde uyarlamanın hızlı olduklarını gösteriyor.
Ne yazık ki, Roundcube’deki bir RCE kusurunun son zamanlarda hızlı silahlanmasının gösterdiği gibi, yetenekli saldırganların bir POC istismarının yayınlanmasını beklemek zorunda değiller – halka açık yamalardan yararlanabilir ve yakın zamanda yamalı kusurları ortaya çıkarmak için mesajlar işleyebilir ve çoğu kullanıcı düzeltmeyi uygulama şansına sahip olmadan önce bunlardan yararlanmaya başlayabilirler.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!