Uma falha crítica de segurança, agora corrigida, no Wazuh Server está sendo explorada por agentes de ameaças para implantar duas variantes diferentes do Mirai botnet e usá-las para conduzir ataques distribuídos de negação de serviço (DDoS).
A Akamai, que descobriu pela primeira vez os esforços de exploração no final de março de 2025, disse que a campanha maliciosa visa o
CVE-2025-24016
(pontuação CVSS: 9.9), uma vulnerabilidade de desserialização insegura que permite a execução remota de código nos servidores Wazuh.
O defeito de segurança, que afeta todas as versões do software do servidor incluindo e acima de 4.4.0, foi abordado em fevereiro de 2025 com o lançamento da versão 4.9.1.
Um exploit de prova de conceito (PoC) foi divulgado publicamente ao mesmo tempo em que os patches foram liberados.
O problema está enraizado na API do Wazuh, onde os parâmetros na DistributedAPI são serializados como JSON e desserializados usando "as_wazuh_object" no arquivo framework/wazuh/core/cluster/common.py.
Um agente de ameaça poderia instrumentalizar a vulnerabilidade injetando payloads JSON maliciosos para executar código Python arbitrário remotamente.
A empresa de infraestrutura web disse que descobriu tentativas de dois botnets diferentes de explorar o
CVE-2025-24016
apenas semanas após a divulgação pública da falha e o lançamento do PoC.
Os ataques foram registrados no início de março e maio de 2025.
"Este é o exemplo mais recente dos cronogramas de exploração cada vez menores que os operadores de botnet adotaram para os CVEs recém-publicados", disseram os pesquisadores de segurança Kyle Lefton e Daniel Messing em um relatório compartilhado com a imprensa.
Na primeira instância, uma exploração bem-sucedida abre caminho para a execução de um script shell que serve como downloader da payload do Mirai botnet de um servidor externo ("176.65.134[.]62") para diferentes arquiteturas.
Avalia-se que as amostras de malware são variantes do LZRD Mirai, que existe desde 2023.
Vale destacar que o LZRD também foi recentemente implantado em ataques explorando dispositivos da Internet das Coisas (IoT) GeoVision no fim de vida útil (EoL).
No entanto, a Akamai informou ao The Hacker News que não há evidências de que esses dois clusters de atividades sejam obra do mesmo agente de ameaça, dado que o LZRD é usado por uma miríade de operadores de botnet.
Análise adicional da infraestrutura de "176.65.134[.]62" e seus domínios associados levaram à descoberta de outras versões de Mirai botnet, incluindo variantes do LZRD denominadas "neon" e "vision", e uma versão atualizada do V3G4.
Algumas das outras falhas de segurança exploradas pelo botnet incluem falhas no Hadoop YARN, TP-Link Archer AX21 (
CVE-2023-1389
) e um bug de execução remota de código em roteadores ZTE ZXV10 H108L.
O segundo botnet a abusar do
CVE-2025-24016
emprega uma estratégia similar usando um script shell malicioso para entregar outra variante do Mirai botnet denominada Resbot (também conhecida como Resentual).
"Uma das coisas interessantes que notamos sobre este botnet foi a linguagem associada.
Ele estava usando uma variedade de domínios para espalhar o malware que todos tinham nomenclatura italiana", disseram os pesquisadores.
As convenções de nomeação linguísticas podem indicar uma campanha para visar dispositivos possuídos e operados por usuários de língua italiana em particular.
Além de tentar se espalhar via FTP pela porta 21 e realizar varredura por telnet, descobriu-se que o botnet aproveita uma ampla gama de exploits visando o roteador Huawei HG532 (
CVE-2017-17215
), Realtek SDK (
CVE-2014-8361
) e TrueOnline ZyXEL P660HN-T v1 (
CVE-2017-18368
).
"A propagação do Mirai continua relativamente inabalada, pois permanece bastante simples reaproveitar e reutilizar o código fonte antigo para configurar ou criar novos botnets", disseram os pesquisadores.
E os operadores de botnet muitas vezes encontram sucesso simplesmente alavancando exploits recém-publicados.
O
CVE-2025-24016
está longe de ser a única vulnerabilidade a ser abusada pelas variantes do Mirai botnet.
Em ataques recentes, agentes de ameaças também se aproveitaram do
CVE-2024-3721
, uma vulnerabilidade de injeção de comando de gravidade média que afeta os dispositivos de gravação de vídeo digital TBK DVR-4104 e DVR-4216, para alistá-los no botnet.
A vulnerabilidade é usada para acionar a execução de um script shell que é responsável por baixar o Mirai botnet de um servidor remoto ("42.112.26[.]36") e executá-lo, mas não antes de verificar se está atualmente rodando dentro de uma máquina virtual ou QEMU.
A empresa de cibersegurança russa Kaspersky disse que as infecções estão concentradas na China, Índia, Egito, Ucrânia, Rússia, Turquia e Brasil, acrescentando que identificou mais de 50.000 dispositivos DVR expostos online.
"A exploração de falhas de segurança conhecidas em dispositivos IoT e servidores que não foram corrigidos, juntamente com o uso generalizado de malware direcionado a sistemas baseados em Linux, leva a um número significativo de bots constantemente buscando na internet dispositivos para infectar", disse o pesquisador de segurança Anderson Leite.
A divulgação ocorre enquanto China, Índia, Taiwan, Singapura, Japão, Malásia, Hong Kong, Indonésia, Coreia do Sul e Bangladesh emergiram como os países mais visados na região da APAC no primeiro trimestre de 2025, de acordo com estatísticas compartilhadas pela StormWall.
"Inundações de API e carpet bombing estão crescendo mais rápido do que ataques volumétricos tradicionais de TCP/UDP, levando as empresas a adotarem defesas mais inteligentes e flexíveis", disse a empresa.
Ao mesmo tempo, tensões geopolíticas crescentes estão impulsionando um aumento nos ataques a sistemas governamentais e Taiwan, destacando a atividade aumentada de hacktivistas e agentes de ameaças patrocinados por estados.
Isso também segue um aviso do Bureau Federal de Investigação (FBI) dos EUA de que o botnet BADBOX 2.0 infectou milhões de dispositivos conectados à internet, a maioria fabricados na China, para transformá-los em proxies residenciais a fim de facilitar atividades criminosas.
"Criminosos cibernéticos ganham acesso não autorizado a redes domésticas configurando o produto com software malicioso antes da compra do usuário ou infectando o dispositivo à medida que ele baixa aplicativos necessários que contêm backdoors, geralmente durante o processo de configuração", disse o FBI.
O botnet BADBOX 2.0 consiste em milhões de dispositivos infectados e mantém numerosas backdoors para serviços de proxy que atores criminosos cibernéticos exploram vendendo ou fornecendo acesso gratuito a redes domésticas comprometidas para serem usadas para várias atividades criminosas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...