Server Wazuh non aggiornati presi di mira dai botnet Mirai (CVE-2025-24016)

Server Wazuh
10Giu

Server Wazuh non aggiornati presi di mira dai botnet Mirai (CVE-2025-24016)

Due botnet Mirai stanno sfruttando una grave vulnerabilità di esecuzione di codice da remoto (CVE-2025-24016) nella piattaforma open-source Wazuh XDR/SIEM, secondo quanto segnalato dai ricercatori di Akamai.

Cos’è Wazuh?
Wazuh è una popolare soluzione open-source per la gestione delle informazioni e degli eventi di sicurezza (SIEM) e per la rilevazione e risposta estesa (XDR). È ampiamente utilizzata per il rilevamento delle intrusioni a livello host, l’analisi dei log, il monitoraggio dell’integrità dei file e molte altre funzioni.

I suoi componenti principali sono:

  • Wazuh Manager: il componente server che analizza i dati ricevuti e genera avvisi. È progettato per sistemi operativi basati su Debian e RHEL.
  • Wazuh Agent: raccoglie i dati dagli endpoint da monitorare e li invia al Manager.
  • Elasticsearch e Kibana: utilizzati per l’indicizzazione e la visualizzazione dei dati di sicurezza.

La vulnerabilità CVE-2025-24016 è legata a una deserializzazione non sicura nelle versioni di Wazuh Manager dalla 4.4.0 alla 4.9.0. Secondo l’avviso di sicurezza, chiunque abbia accesso all’API di Wazuh (ad esempio tramite una dashboard compromessa o un nodo del cluster vulnerabile) può sfruttare la falla, e in alcune configurazioni anche un agente compromesso potrebbe farlo. Per l’exploit, l’attaccante deve ottenere le credenziali di un utente valido dell’API di Wazuh. La vulnerabilità è stata corretta nella versione 4.9.1, rilasciata nell’ottobre 2024. La sua esistenza è stata resa pubblica nel febbraio 2025.

Server Wazuh non aggiornati presi di mira dai botnet Mirai

Sfruttamento della CVE-2025-24016 da parte dei botnet Mirai
Secondo Akamai, lo sfruttamento attivo di questa falla è iniziato nel marzo 2025.

La vulnerabilità viene utilizzata per ampliare due diversi botnet Mirai. L’exploit si basa su un proof-of-concept (PoC) pubblicato il 21 febbraio, che consente di eseguire uno script malevolo in grado di scaricare varianti del malware Mirai. All’inizio di maggio 2025, Akamai ha rilevato un altro botnet Mirai che utilizzava richieste strutturate in modo simile, ma indirizzate a un endpoint Wazuh non standard. “Poiché le richieste sono quasi identiche al PoC, fatta eccezione per l’endpoint, è probabile che il botnet stia ancora cercando di sfruttare la stessa vulnerabilità in Wazuh”, hanno osservato i ricercatori. Come il primo, anche questo botnet distribuisce payload Mirai destinati a molteplici architetture, tipiche dei dispositivi IoT.

Entrambi i botnet stanno inoltre tentando di sfruttare vecchie vulnerabilità in:

  • Hadoop YARN
  • Router legacy di TP-Link, ZTE, Huawei, ZyXEL
  • SDK RealTek

Questi attacchi dimostrano che gli operatori dei botnet monitorano costantemente le nuove vulnerabilità e sono rapidi nell’adattare i PoC pubblici per far crescere i propri botnet o crearne di nuovi. Purtroppo, come dimostrato dal recente e rapido sfruttamento di una falla RCE in Roundcube, gli attaccanti più esperti non hanno nemmeno bisogno di un PoC pubblico: possono analizzare patch e messaggi di commit per identificare vulnerabilità appena corrette e iniziare a sfruttarle prima che la maggior parte degli utenti abbia applicato gli aggiornamenti.

Di Cyb & Des Consulting, Cybercrime, Privacy , , , , , , 0 Commenti
Share:

Related Posts

NodeLoader Un caricatore malware basato su Node 17 Dicembre 2024

NodeLoader Un caricatore malware basato su Node.js

Leggi di più
Come Sfruttare Google Analytics per Ottimizzare il Tuo Sito Web 28 Ottobre 2024

Come Sfruttare Google Analytics per Ottimizzare il Tuo Sito Web

Leggi di più
I professionisti della privacy 22 Gennaio 2025

I professionisti della privacy sono sempre più stressati

Leggi di più
Web design Strategie Social seo 31 Agosto 2024

Come Integrare la SEO con le Strategie Social: Una Guida Completa

Leggi di più
Seo Cyb&Des Consulting 31 Agosto 2024

10 errori Seo da evitare, per non perdere la visibilità in Google e altri motori

Leggi di più
RoundcubeRCE 9 Giugno 2025

Roundcube RCE: attività sul dark web indicano attacchi imminenti (CVE-2025-49113)

Leggi di più
Stratosharkc Wireshark 23 Gennaio 2025

Stratoshark: Wireshark per il cloud, ora disponibile!

Leggi di più
Digital Cookie Seo e Privacy 12 Ottobre 2024

Nuove regolamentazioni sulla privacy e l’impatto sul SEO per posizionarti online

Leggi di più
Piattaforme DDoS 12 Dicembre 2024

Repressione globale contro le piattaforme DDoS: sequestrate 27 piattaforme

Leggi di più
Malware OT Nuove minacce per i sistemi industriali e IoT 17 Dicembre 2024

Malware OT: Nuove minacce per i sistemi industriali e IoT

Leggi di più
Translate »
error: Il contenuto è protetto!!