Wazur sunucusundaki şimdi paylaşılan kritik bir güvenlik kusuru, tehdit aktörleri tarafından iki farklı Mirai Botnet varyantını düşürmeleri ve bunları dağıtılmış hizmet reddi (DDOS) saldırıları yapmak için kullanıyor.
Mart 2025’in sonlarında sömürü çabalarını ilk keşfeden Akamai, kötü niyetli kampanyanın Wazuh sunucularında uzaktan kod yürütülmesine izin veren güvensiz bir sazizleme kırılganlığı olan CVE-2025-24016’yı (CVSS puanı: 9.9) hedeflediğini söyledi.
Sunucu yazılımının 4.4.0 dahil tüm sürümlerini etkileyen güvenlik hatası, Şubat 2025’te 4.9.1 sürümüyle ele alınmıştır. Yamalar serbest bırakıldığı tarihte kamuya açıklanmış bir konsept (POC) istismarını açıkladı.
Sorun, dağıtıcadaki parametrelerin JSON olarak serileştirildiği ve/wazuh/core/cluster/common.py dosyasında “AS_WAZUH_OBJECT” kullanılarak serileştirildiği wazuh API’sinde kök salmıştır. Bir tehdit oyuncusu, keyfi Python kodunu uzaktan yürütmek için kötü niyetli JSON yükleri enjekte ederek güvenlik açığını silahlandırabilir.
Web altyapı şirketi, iki farklı botnet tarafından CVE-2025-24016’yı Kusurun açıklanmasından ve POC’nin yayınlanmasından sadece haftalar sonra kullanma girişimlerini keşfettiğini söyledi. Saldırılar Mart ve Mayıs 2025’in başlarında kaydedildi.
Güvenlik araştırmacıları Kyle Lefton ve Daniel Messing, Hacker News ile paylaşılan bir raporda, “Bu, BotNet operatörlerinin yeni yayınlanan CVES için benimsedikleri, sürekli olarak tükenmiş zaman çizelgelerinin en son örneğidir.” Dedi.
İlk olarak, başarılı bir istismar, harici bir sunucudan Mirai botnet yükü için indirici görevi gören bir kabuk komut dosyasının yürütülmesinin yolunu açar (“176.65.134[.]62 “) farklı mimariler için. Kötü amaçlı yazılım örneklerinin 2023’ten beri var olan LZRD Mirai’nin varyantları olduğu değerlendirilmektedir.
LZRD’nin son zamanlarda Geovision Yaşam Sonu (EOL) Nesnelerin İnterneti (IoT) cihazlarından yararlanan saldırılarda da konuşlandırıldığını belirtmek gerekir. Bununla birlikte, Akamai Hacker News’e, bu iki etkinlik kümesinin LZRD’nin sayısız Botnet operatörleri tarafından kullanıldığı göz önüne alındığında, aynı tehdit oyuncunun çalışması olduğuna dair hiçbir kanıt olmadığını söyledi.
“176.65.134’ün diğer altyapı analizi[.]62 “ve ilişkili alanları,” Neon “ve” Vision “adlı LZRD varyantları ve V3G4’ün güncellenmiş bir sürümü de dahil olmak üzere diğer Mirai Botnet versiyonlarının keşfine yol açmıştır.
BOTNET tarafından kullanılan diğer güvenlik kusurlarından bazıları Hadoop İplik’teki Kusurlar, TP-Link Archer AX21 (CVE-2023-1389) ve ZTE ZXV10 H108L yönlendiricilerinde bir uzaktan kod yürütme hatası içerir.
CVE-2025-24016’yı kötüye kullanan ikinci Botnet, Resbot (AKA RESTUAL) olarak adlandırılan başka bir Mirai Botnet varyantı sunmak için kötü niyetli bir kabuk komut dosyası kullanma gibi benzer bir strateji kullanır.
Araştırmacılar, “Bu botnet hakkında fark ettiğimiz ilginç şeylerden biri ilişkili dildi. Hepsinin İtalyan isimlendirmesine sahip olduğu kötü amaçlı yazılımları yaymak için çeşitli alanlar kullanıyordu.” Dedi. Diyerek şöyle devam etti: “Dilsel adlandırma sözleşmeleri, özellikle İtalyanca konuşan kullanıcıların sahip olduğu ve işlettiği cihazları hedeflemek için bir kampanya gösterebilir.”
Port 21 üzerinden FTP yoluyla yayılmaya çalışmanın ve telnet taraması yapmanın yanı sıra, BotNet’in Huawei HG532 yönlendiricisini (CVE-2017-17215), Realtek SDK (CVE-2014-8361) hedefleyen çok çeşitli istismarlardan yararlandığı bulunmuştur (CVE-2014-8361) ve trueonline zyxel p60hoT, (CVE-2017-18368).
Araştırmacılar, “Mirai’nin yayılması nispeten durmadan devam ediyor, çünkü yeni botnetler kurmak veya oluşturmak için eski kaynak kodunu yeniden kullanma ve yeniden kullanma oldukça basit kalıyor.” Dedi. “Ve botnet operatörleri genellikle yeni yayınlanan istismarlardan yararlanarak başarı bulabilirler.”
CVE-2025-24016, Mirai Botnet varyantları tarafından istismar edilecek tek güvenlik açığından çok uzaktır. Son saldırılarda, tehdit aktörleri, BotNet’e katılmak için TBK DVR-4104 ve DVR-4216 dijital video kayıt cihazlarını etkileyen orta yüzlü komut enjeksiyon güvenlik açığı olan CVE-2024-3721’den de yararlandı.
Güvenlik açığı, Mirai Botnet’i uzak bir sunucudan indirmekten sorumlu bir kabuk komut dosyasının yürütülmesini tetiklemek için kullanılır (“42.112.26[.]36 “) ve yürütme, ancak şu anda bir sanal makinenin veya qemu içinde çalışıp çalışmadığını kontrol etmeden önce değil.
Rus siber güvenlik şirketi Kaspersky, enfeksiyonların Çin, Hindistan, Mısır, Ukrayna, Rusya, Türkiye ve Brezilya çevresinde yoğunlaştığını ve 50.000’den fazla maruz kalan DVR cihazını çevrimiçi olarak tanımladığını söyledi.
Güvenlik Araştırmacı Anderson Leite, “Yamalı olmayan IoT cihazlarında ve sunucularda bilinen güvenlik kusurlarını kullanmak, Linux tabanlı sistemleri hedefleyen kötü amaçlı yazılımların yaygın olarak kullanılması, cihazların enfekte olması için sürekli olarak internette arama yapan önemli sayıda botun yol açmasına yol açıyor.” Dedi.
Stormwall tarafından paylaşılan istatistiklere göre, açıklama Çin, Hindistan, Tayvan, Singapur, Japonya, Malezya, Hong Kong, Endonezya, Güney Kore ve Bangladeş olarak geliyor.
Şirket, “API selleri ve halı bombardımanları geleneksel hacimsel TCP/UDP saldırılarından daha hızlı büyüyor ve şirketleri daha akıllı, daha esnek savunmaları benimsemeye zorluyor.” Dedi. “Aynı zamanda, artan jeopolitik gerilimler hükümet sistemlerine ve Tayvan’a yönelik saldırılarda artış sağlıyor-hacktivistlerden ve devlet destekli tehdit aktörlerinden artan faaliyetleri vurguluyor.”
Ayrıca, ABD Federal Soruşturma Bürosu’ndan (FBI), Badbox 2.0 BotNet’in, çoğu Çin’de üretilen milyonlarca internet bağlantılı cihazı, suç faaliyetlerini kolaylaştırmak için konut proxy’lerine dönüştürmek için enfekte ettiğini takip ediyor.
FBI, “Siber suçlular, kullanıcının satın almadan önce kötü amaçlı yazılımlarla ürünü kötü amaçlı yazılımlarla yapılandırarak veya cihaza enfekte ederek, genellikle kurulum işlemi sırasında arka planlar içeren uygulamaları indirirken, ev ağlarına yetkisiz erişim elde ediyor.” Dedi.
“Badbox 2.0 botnet milyonlarca enfekte cihazdan oluşuyor ve siber suçlu aktörlerin çeşitli suç faaliyetleri için kullanılacak tehlikeye atılmış ev ağlarına satarak veya ücretsiz erişim sağlayarak sömürdüğü vekil hizmetlere çok sayıda arka planı koruyor.”