09.06.2025
1 хв
607
Дослідники з Akamai виявили активні кампанії ботнету Mirai, котрі використовують критичну вразливість у Wazuh — популярній платформі для виявлення загроз. Уразливість дає змогу виконувати довільний код через API, наражаючи незахищені сервери на повний контроль зі сторони зловмисників.
Вразливість CVE-2025-24016, яку експлуатують варіації Mirai, дає змогу зловмиснику з API-доступом виконати шкідливий Python-код. Проблема виникає через неналежну фільтрацію словників у DistributedAPI, котрі десеріалізуються в framework/wazuh/core/cluster/common.py. Дослідники Akamai SIRT ідентифікували дві активні кампанії, націлені на сервери з версіями Wazuh від 4.4.0 до 4.9.0. Хоча вразливість відома з лютого, її досі не внесли до переліку CISA KEV, а перші атаки зафіксовано вже в березні.
Mirai — відомий з 2016 року ботнет, який заражає пристрої Інтернету речей (IoT), перетворюючи їх на армію для DDoS-атак. У нових кампаніях Mirai націлений не лише на роутери чи камери, а й на захисні системи самих компаній. Wazuh, як платформа з відкритим кодом для виявлення загроз і реагування на інциденти, стала зручною мішенню через активне використання в корпораціях і недостатній контроль оновлень.
Користувачам Wazuh варто негайно оновитись до версії 4.9.1 або новішої, оскільки активна експлуатація критичної вразливості вже відбувається. Відмова від оновлення може призвести до повного захоплення інфраструктури зловмисниками. Подія ще раз підкреслює, наскільки важлива регулярна перевірка безпеки навіть для інструментів, які самі мають захищати системи.
