Vulnerabilità critica nel server Wazuh sfruttata per attacchi DDoS
Una vulnerabilità di sicurezza critica, ora risolta, nel server Wazuh è stata sfruttata da attori malevoli per distribuire due varianti del botnet Mirai e condurre attacchi di distributed denial-of-service (DDoS). Akamai ha scoperto questi tentativi di sfruttamento alla fine di marzo 2025, evidenziando come la campagna malevola prenda di mira la CVE-2025-24016 (punteggio CVSS: 9.9), una vulnerabilità di deserializzazione non sicura che consente l’esecuzione di codice remoto sui server Wazuh.
Il difetto di sicurezza, che interessa tutte le versioni del software server dalla 4.4.0 in poi, è stato risolto a febbraio 2025 con il rilascio della versione 4.9.1. Un proof-of-concept (PoC) dell’exploit è stato reso pubblico quasi contemporaneamente al rilascio delle patch. Il problema risiede nell’API di Wazuh, dove i parametri nel DistributedAPI sono serializzati come JSON e deserializzati utilizzando “as_wazuh_object” nel file framework/wazuh/core/cluster/common.py. Un attore malevolo potrebbe sfruttare la vulnerabilità iniettando payload JSON malevoli per eseguire codice Python arbitrario da remoto.
Akamai ha rilevato tentativi di sfruttamento della CVE-2025-24016 da parte di due diversi botnet solo poche settimane dopo la divulgazione pubblica della falla e il rilascio del PoC. Gli attacchi sono stati registrati all’inizio di marzo e maggio 2025. “Questo è l’ultimo esempio della sempre più ridotta tempistica di sfruttamento che gli operatori di botnet hanno adottato per le CVE appena pubblicate”, hanno affermato i ricercatori di sicurezza Kyle Lefton e Daniel Messing in un rapporto condiviso con The Hacker News.
Nel primo caso, un exploit riuscito apre la strada all’esecuzione di uno script shell che funge da downloader per il payload del botnet Mirai da un server esterno (“176.65.134[.]62”) per diverse architetture. Si ritiene che i campioni di malware siano varianti di LZRD Mirai, in circolazione dal 2023. È interessante notare che LZRD è stato recentemente utilizzato in attacchi che sfruttano dispositivi Internet of Things (IoT) GeoVision giunti a fine vita (EoL). Tuttavia, Akamai ha dichiarato a The Hacker News che non ci sono prove che questi due cluster di attività siano opera dello stesso attore malevolo, dato che LZRD è utilizzato da numerosi operatori di botnet.
Ulteriori analisi dell’infrastruttura di “176.65.134[.]62” e dei suoi domini associati hanno portato alla scoperta di altre versioni del botnet Mirai, incluse varianti LZRD chiamate “neon” e “vision”, e una versione aggiornata di V3G4. Altre vulnerabilità di sicurezza sfruttate dal botnet includono difetti in Hadoop YARN, TP-Link Archer AX21 (CVE-2023-1389) e un bug di esecuzione di codice remoto nei router ZTE ZXV10 H108L.
Il secondo botnet che sfrutta la CVE-2025-24016 adotta una strategia simile, utilizzando uno script shell malevolo per distribuire un’altra variante del botnet Mirai, denominata Resbot (anche noto come Resentual). “Una delle cose interessanti che abbiamo notato su questo botnet è stata la lingua associata. Utilizzava una varietà di domini per diffondere il malware, tutti con nomenclatura italiana”, hanno affermato i ricercatori.
Fonte: The Hackers News
