Server Wazuh non aggiornati presi di mira dai botnet Mirai (CVE-2025-24016)

Server Wazuh
10Giu

Server Wazuh non aggiornati presi di mira dai botnet Mirai (CVE-2025-24016)

Server Wazuh, Due botnet Mirai sfruttano vulnerabilità critica (CVE-2025-24016) in Wazuh XDR/SIEM: rischio elevato per sistemi non aggiornati I ricercatori di Akamai hanno individuato una nuova campagna di attacchi condotta da due varianti della famigerata botnet Mirai, che stanno attivamente sfruttando una grave vulnerabilità di esecuzione di codice da remoto (RCE)

Cos’è Wazuh?

Wazuh è una popolare soluzione open source per:

  • il Security Information and Event Management (SIEM),

  • la rilevazione e risposta estesa (XDR),

  • il monitoraggio dell’integrità dei file (FIM),

  • l’analisi dei log,

  • la gestione delle policy di sicurezza e la conformità normativa (compliance).

Utilizzata da migliaia di aziende e provider di servizi gestiti (MSSP) in tutto il mondo, Wazuh è apprezzata per la sua flessibilità, la natura open e l’integrazione con strumenti come Elastic Stack, Osquery e VirusTotal.

Dettagli sulla vulnerabilità CVE-2025-24016

Secondo le analisi, il problema risiede in un modulo esposto via HTTP/HTTPS che non convalida correttamente gli input forniti dall’utente, consentendo l’iniezione di comandi o script direttamente nel backend. Questo permette l’installazione silenziosa di malware, trojan o la compromissione del sistema per attività botnet, come DDoS, scanning e brute force.

Le botnet Mirai coinvolte in questa campagna hanno adattato il loro codice per sfruttare specificamente questa falla e propagarsi rapidamente verso nuovi host vulnerabili.

Raccomandazioni urgenti

Wazuh ha rilasciato una patch correttiva non appena la vulnerabilità è stata resa nota. Gli amministratori sono invitati a:

  • Aggiornare immediatamente Wazuh all’ultima versione stabile, contenente la correzione per CVE-2025-24016.

  • Limitare l’accesso alle interfacce web solo a reti fidate o attraverso VPN.

  • Monitorare i log per attività sospette o tentativi di exploit noti associati a Mirai.

  • Eseguire una scansione forense dei sistemi potenzialmente compromessi.

I suoi componenti principali sono:

  • Wazuh Manager: il componente server che analizza i dati ricevuti e genera avvisi. È progettato per sistemi operativi basati su Debian e RHEL.
  • Wazuh Agent: raccoglie i dati dagli endpoint da monitorare e li invia al Manager.
  • Elasticsearch e Kibana: utilizzati per l’indicizzazione e la visualizzazione dei dati di sicurezza.

La vulnerabilità CVE-2025-24016 è legata a una deserializzazione non sicura nelle versioni di Wazuh Manager dalla 4.4.0 alla 4.9.0. Secondo l’avviso di sicurezza, chiunque abbia accesso all’API di Wazuh (ad esempio tramite una dashboard compromessa o un nodo del cluster vulnerabile) può sfruttare la falla, e in alcune configurazioni anche un agente compromesso potrebbe farlo. Per l’exploit, l’attaccante deve ottenere le credenziali di un utente valido dell’API di Wazuh. La vulnerabilità è stata corretta nella versione 4.9.1, rilasciata nell’ottobre 2024. La sua esistenza è stata resa pubblica nel febbraio 2025.

Server Wazuh non aggiornati presi di mira dai botnet Mirai

Sfruttamento della CVE-2025-24016 da parte dei botnet Mirai
Secondo Akamai, lo sfruttamento attivo di questa falla è iniziato nel marzo 2025.

La vulnerabilità viene utilizzata per ampliare due diversi botnet Mirai. L’exploit si basa su un proof-of-concept (PoC) pubblicato il 21 febbraio, che consente di eseguire uno script malevolo in grado di scaricare varianti del malware Mirai. All’inizio di maggio 2025, Akamai ha rilevato un altro botnet Mirai che utilizzava richieste strutturate in modo simile, ma indirizzate a un endpoint Wazuh non standard. “Poiché le richieste sono quasi identiche al PoC, fatta eccezione per l’endpoint, è probabile che il botnet stia ancora cercando di sfruttare la stessa vulnerabilità in Wazuh”, hanno osservato i ricercatori. Come il primo, anche questo botnet distribuisce payload Mirai destinati a molteplici architetture, tipiche dei dispositivi IoT.

Entrambi i botnet stanno inoltre tentando di sfruttare vecchie vulnerabilità in:

  • Hadoop YARN
  • Router legacy di TP-Link, ZTE, Huawei, ZyXEL
  • SDK RealTek

Questi attacchi dimostrano che gli operatori dei botnet monitorano costantemente le nuove vulnerabilità e sono rapidi nell’adattare i PoC pubblici per far crescere i propri botnet o crearne di nuovi. Purtroppo, come dimostrato dal recente e rapido sfruttamento di una falla RCE in Roundcube, gli attaccanti più esperti non hanno nemmeno bisogno di un PoC pubblico: possono analizzare patch e messaggi di commit per identificare vulnerabilità appena corrette e iniziare a sfruttarle prima che la maggior parte degli utenti abbia applicato gli aggiornamenti.

Di Cyb & Des Consulting, Cybercrime, Privacy , , , , , , 0 Commenti
Share:

Related Posts

File di Configurazione per 15000 Firewall Fortinet Trapelati Il Tuo e Tra Questi 17 Gennaio 2025

File di Configurazione per 15.000 Firewall Fortinet

Leggi di più
La botnet Mirai e il piu grande attacco DDoS mai registrato 23 Gennaio 2025

La botnet Mirai e il più grande attacco DDoS mai registrato

Leggi di più
Malware OT Nuove minacce per i sistemi industriali e IoT 17 Dicembre 2024

Malware OT: Nuove minacce per i sistemi industriali e IoT

Leggi di più
firewall Fortinet 23 Gennaio 2025

Oltre 48.000 firewall Fortinet FortiGate esposti agli attacchi: un rischio critico

Leggi di più
Cellebrite e NoviSpy 17 Dicembre 2024

Cellebrite e NoviSpy: il caso Serbia e i rischi della sorveglianza digitale

Leggi di più
Digital web marketing 20 Novembre 2024

Strategie di marketing per avvocati e professionisti: potenzia la tua immagine

Leggi di più
Come Sfruttare Google Analytics per Ottimizzare il Tuo Sito Web 28 Ottobre 2024

Come Sfruttare Google Analytics per Ottimizzare il Tuo Sito Web

Leggi di più
Cleo zero-day Rasomware 12 Dicembre 2024

Cleo: Patch per risolvere lo zero-day sfruttato da ransomware

Leggi di più
Piattaforme DDoS 12 Dicembre 2024

Repressione globale contro le piattaforme DDoS: sequestrate 27 piattaforme

Leggi di più
Web Cache Vulnerability Scanner 23 Gennaio 2025

Web Cache Vulnerability Scanner: il tool open source per individuare vulnerabilità

Leggi di più
Translate »
error: Il contenuto è protetto!!