Populaire pour surveiller les conteneurs Docker, Wazuh est exploité par deux variantes de botnet Mirai – dont l’une s’aligne étroitement avec l’attaque de preuve de concept des chercheurs précédemment publiée contre la vulnérabilité.
Les chercheurs préviennent que plusieurs botnets construits sur la base de code Mirai Malware ciblent les serveurs de gestion WAZUH XDR et SIEM obsolètes. Au cours des derniers mois, les botnets ont exploité une vulnérabilité critique d’exécution de code distant à Wazuh qui a été corrigé en février.
Les chercheurs de la société de livraison de contenu et de sécurité Akamai ont d’abord détecté l’exploitation de la vulnérabilité de Wazuh dans ses serveurs de pot de miel en mars, plusieurs semaines après que le défaut est devenu public.
« Bien que la vulnérabilité soit publique depuis des mois maintenant, elle n’a pas encore été ajoutée au catalogue de vulnérabilité exploitée connu (KEV) de CISA, pas plus que l’exploitation active n’a pas été signalée », a écrit l’équipe Akamai dans un rapport cette semaine.
Desérialisation dangereuse dans l’API Wazuh
Wazuh est une plate-forme de prévention, de détection et de réponse des menaces open source qui peut surveiller à la fois les charges de travail sur site et les serveurs cloud. La plate-forme s’intègre bien au moteur de gestion des conteneurs Docker, ce qui en fait une solution populaire pour surveiller les conteneurs Docker.
Wazuh est composé d’un agent logiciel qui est déployé sur des points de terminaison et un serveur de gestion qui collecte et analyse les données recueillies par les agents. La vulnérabilité CVE-2025-24016 a un impact sur les serveurs WAZUH de la version 4.4.0 (publié en mars 2023) à 4.9.1.
La faille de désérialisation JSON non sûre peut être exploitée via des paramètres DistributedAPI pour réaliser l’exécution du code distant. Il peut être exploité par toute personne ayant un accès API, y compris un agent Wazuh compromis dans certaines configurations.
Deux variantes Mirai intègrent l’exploit
Le premier botnet exploitant CVE-2025-24016 a été détecté par Akamai en mars et a utilisé un exploit de preuve de concept (POC) publié pour la vulnérabilité fin février. Qui exploite cible le point de terminaison de l’API / Security / User / User / Authenticiate / Run_AS.
Le deuxième botnet a été détecté début mai et a ciblé le point final / wazuh, mais la charge utile de l’exploit est très similaire à l’exploit POC publié précédemment. Les deux botnets exploitent des vulnérabilités supplémentaires pour d’autres appareils et déploient les logiciels malveillants Mirai.
Lancé pour la première fois en 2016, Mirai a été l’une des charges utiles de logiciels malveillants les plus réussies qui ont réquisitionné les appareils IoT et les ont utilisés pour lancer des attaques de déni de service distribué (DDOS). Le botnet d’origine était responsable de certaines des plus grandes attaques DDOS enregistrées sur Internet jusqu’à ce qu’elle soit fermée par son créateur et que le code source du malware a été publié sur Github.
Depuis lors, de nombreuses variantes de Mirai ont été observées, car les attaquants prennent la base de code d’origine et y ajoutent de nouveaux exploits et fonctionnalités.
La première variante qui exploite la vulnérabilité Wazuh télécharge un script de shell malveillant qui peut télécharger la charge utile Mirai pour diverses architectures de processeur. La variante Mirai contient le nom «Morte» et utilisé des domaines de commande et de contrôle (C2) précédemment associés à un rat Windows et à plusieurs autres variantes Mirai.
Le botnet Morte contient également des exploits pour les vulnérabilités connues dans le fil Hadoop, les routeurs TP-Link Archer AX21 et ZTE ZXV10 H108L. L’incorporation de plusieurs exploits pour les appareils IoT est courante pour Mirai, mais les attaquants peuvent les personnaliser.
Le deuxième botnet Mirai exploitant la faille Wazuh a été surnommé Resbot ou Resentual et utilise des domaines C2 qui contiennent des mots italiens. Ce botnet comprend également des exploits pour des vulnérabilités connues dans les routeurs V1 HG532 et TrueOnline Zyxel P660HN-T V1 ainsi que pour l’implémentation MiniIGD UPNP dans le SDK du chipset Realtek Network.
« Les chercheurs tentent d’éduquer les organisations sur l’importance des vulnérabilités en créant des POC continuent de conduire à des résultats délicieux, montrant à quel point il est désastreux de suivre les correctifs lorsqu’ils sont libérés », a écrit l’équipe Akamai dans son rapport. « Les opérateurs de botnet gardent un œil sur certaines de ces divulgations de vulnérabilité – et, en particulier dans les cas où les POC sont mis à disposition, ils adapteront rapidement le code POC pour proliférer leur botnet. »
