Zwei Botnetze nutzen Wazuh-Schwachstelle für Angriffe

LONDON (IT BOLTWISE) – Eine kritische Sicherheitslücke im Wazuh-Server, die inzwischen behoben wurde, wird von Cyberkriminellen ausgenutzt, um zwei verschiedene Mirai-Botnet-Varianten zu verbreiten und damit Distributed-Denial-of-Service (DDoS)-Angriffe durchzuführen.

Eine kritische Sicherheitslücke im Wazuh-Server, die inzwischen behoben wurde, wird von Cyberkriminellen ausgenutzt, um zwei verschiedene Mirai-Botnet-Varianten zu verbreiten und damit Distributed-Denial-of-Service (DDoS)-Angriffe durchzuführen. Die Sicherheitsfirma Akamai entdeckte die Ausnutzungsversuche erstmals Ende März 2025 und berichtete, dass die Angriffe auf die Schwachstelle CVE-2025-24016 abzielen, die eine unsichere Deserialisierung ermöglicht und Remote-Code-Ausführung auf Wazuh-Servern erlaubt.

Die Sicherheitslücke betrifft alle Versionen der Server-Software ab Version 4.4.0 und wurde im Februar 2025 mit der Veröffentlichung von Version 4.9.1 behoben. Ein Proof-of-Concept-Exploit wurde zeitgleich mit den Patches veröffentlicht, was die Angreifer dazu veranlasste, die Schwachstelle schnell auszunutzen. Die Schwachstelle liegt in der Wazuh-API, wo Parameter in der DistributedAPI als JSON serialisiert und mit “as_wazuh_object” deserialisiert werden. Ein Angreifer könnte die Schwachstelle ausnutzen, indem er bösartige JSON-Payloads injiziert, um beliebigen Python-Code auszuführen.

Die Angriffe wurden im März und Mai 2025 registriert. In einem Fall ermöglicht ein erfolgreicher Exploit die Ausführung eines Shell-Skripts, das als Downloader für die Mirai-Botnet-Payload von einem externen Server dient. Die Malware-Proben werden als Varianten von LZRD Mirai bewertet, das seit 2023 bekannt ist. Es gibt jedoch keine Hinweise darauf, dass die beiden Aktivitätscluster von denselben Angreifern stammen, da LZRD von vielen Botnet-Betreibern genutzt wird.

Eine weitere Analyse der Infrastruktur des Servers und seiner zugehörigen Domains führte zur Entdeckung anderer Mirai-Botnet-Versionen, darunter LZRD-Varianten namens “neon” und “vision” sowie eine aktualisierte Version von V3G4. Zu den weiteren Sicherheitslücken, die von dem Botnet ausgenutzt werden, gehören Schwachstellen in Hadoop YARN, TP-Link Archer AX21 und ein Remote-Code-Ausführungsfehler in ZTE ZXV10 H108L-Routern.

Das zweite Botnet, das CVE-2025-24016 ausnutzt, verwendet eine ähnliche Strategie, um eine weitere Mirai-Botnet-Variante namens Resbot zu verbreiten. Interessanterweise wurden bei diesem Botnet Domains mit italienischer Nomenklatur verwendet, was auf eine gezielte Kampagne gegen italienischsprachige Nutzer hindeuten könnte. Neben der Verbreitung über FTP und Telnet-Scans nutzt das Botnet eine Vielzahl von Exploits, darunter Schwachstellen in Huawei HG532-Routern, Realtek SDK und TrueOnline ZyXEL P660HN-T v1-Routern.

Die Verbreitung von Mirai bleibt relativ ungehindert, da es relativ einfach ist, alten Quellcode zu verwenden, um neue Botnets zu erstellen. Botnet-Betreiber können oft erfolgreich sein, indem sie einfach neu veröffentlichte Exploits nutzen. CVE-2025-24016 ist nicht die einzige Schwachstelle, die von Mirai-Botnet-Varianten ausgenutzt wird. In jüngsten Angriffen haben Bedrohungsakteure auch CVE-2024-3721 ausgenutzt, eine mittelgradige Befehlsinjektionsschwachstelle, die TBK DVR-4104 und DVR-4216-Digitalrekorder betrifft.

Die russische Cybersicherheitsfirma Kaspersky berichtete, dass die Infektionen sich hauptsächlich auf China, Indien, Ägypten, die Ukraine, Russland, die Türkei und Brasilien konzentrieren. Die Offenlegung erfolgt zu einem Zeitpunkt, an dem China, Indien, Taiwan, Singapur, Japan, Malaysia, Hongkong, Indonesien, Südkorea und Bangladesch als die am stärksten betroffenen Länder in der APAC-Region im ersten Quartal 2025 hervorgegangen sind.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!