Wazuh sérülékenységén keresztül terjed a Mirai botnet
Az Akamai kutatása szerint a Wazuh nyílt forráskódú biztonsági platform egy kritikus sebezhetőségét (CVE-2025-24016) kihasználva új Mirai-variánsok terjedését figyelték meg 2025 elején. A hiba a Wazuh REST API-ban található, amely lehetőséget ad arra, hogy támadók távoli Python-kódot futtassanak le, teljes jogosultságot szerezve a célrendszer felett. A támadások során a Mirai botnet új variánsai, köztük a Resbot néven azonosított, többféle CPU-architektúrára is optimalizált verziók kerültek bevetésre. Ezek automatikusan letöltött shell szkriptek segítségével hozták létre a kapcsolatot a vezérlőszerverekkel, majd aktívan fertőzték tovább a hálózaton elérhető eszközöket, beleértve az IoT rendszereket is.
A sérülékenységet tartalmazó Wazuh verziók a 4.4.0-tól a 4.9.0-ig terjednek, amelyet a fejlesztők a 4.9.1-es frissítésben javítottak. A biztonsági kutatók megfigyelése szerint az exploit nyilvánosságra kerülése után alig néhány nappal megjelentek az első valódi támadások, ami azt mutatja, hogy a botnet-operátorok rendkívül gyorsan reagálnak a friss PoC-kre. A Resbot kampány esetében különösen feltűnő volt, hogy olasz nyelvű infrastruktúrát használtak, amiből az is következik, hogy regionális célzás is megvalósult.
A támadások sajátossága, hogy nem csak a sérülékeny Wazuh telepítéseket fenyegetik, hanem azokat az IoT eszközöket is, amelyek már korábban lettek kompromittálva, vagy amelyek közvetetten kerülnek kapcsolatba a fertőzött környezettel. A kártevő szinte azonnal képes továbbfertőzni más célpontokat, különösen olyanokat, amelyek nem tartalmaznak naprakész védelmet, vagy nem alkalmaznak megfelelő hálózati szegmentációt. A Mirai-variánsok működése továbbra is azon alapul, hogy egyszerű shell-parancsokkal gyorsan letölthető és futtatható binárisokkal dolgoznak, amelyeket DGA-szerű domain rotációval védenek a blokkolási kísérletek ellen.
