Cacat keamanan kritis yang sekarang ditonton di server Wazur sedang dieksploitasi oleh aktor ancaman untuk menjatuhkan dua varian botnet Mirai yang berbeda dan menggunakannya untuk melakukan serangan penolakan (DDOS) yang didistribusikan.
Akamai, yang pertama kali menemukan upaya eksploitasi pada akhir Maret 2025, mengatakan kampanye jahat menargetkan CVE-2025-24016 (skor CVSS: 9.9), kerentanan deserialisasi yang tidak aman yang memungkinkan eksekusi kode jarak jauh pada server Wazuh.
Cacat keamanan, yang memengaruhi semua versi perangkat lunak server termasuk dan di atas 4.4.0, ditangani pada Februari 2025 dengan rilis 4.9.1. Eksploitasi Proof-of-Concept (POC) diungkapkan secara publik sekitar waktu yang sama tambalan dilepaskan.
Masalahnya berakar pada WAZUH API, di mana parameter dalam distributedapi diserialisasi sebagai JSON dan deserialized menggunakan “as_wazuh_object” dalam file Framework/Wazuh/Core/Cluster/Common.py. Aktor ancaman dapat mempersenjatai kerentanan dengan menyuntikkan muatan JSON berbahaya untuk mengeksekusi kode python yang sewenang -wenang dari jarak jauh.
Perusahaan infrastruktur web mengatakan menemukan upaya oleh dua botnet yang berbeda untuk mengeksploitasi CVE-2025-24016 hanya beberapa minggu setelah pengungkapan publik tentang cacat dan pelepasan POC. Serangan itu terdaftar pada awal Maret dan Mei 2025.
“Ini adalah contoh terbaru dari jadwal waktu-ke-penjelasan yang semakin banyak yang telah diadopsi oleh operator botnet untuk CVE yang baru diterbitkan,” kata peneliti keamanan Kyle Lefton dan Daniel Messing dalam sebuah laporan yang dibagikan dengan berita peretas.
Dalam contoh pertama, eksploitasi yang sukses membuka jalan bagi pelaksanaan skrip shell yang berfungsi sebagai pengunduh untuk muatan mirai botnet dari server eksternal (“176.65.134[.]62 “) Untuk arsitektur yang berbeda. Dinilai bahwa sampel malware adalah varian LZRD Mirai, yang telah ada sejak 2023.
Perlu dicatat bahwa LZRD juga dikerahkan baru-baru ini dalam serangan yang mengeksploitasi perangkat Internet of Things (IoT) Geovision End-of-Life (IoT). Namun, Akamai mengatakan kepada Hacker News bahwa tidak ada bukti bahwa kedua kelompok kegiatan ini adalah pekerjaan dari aktor ancaman yang sama mengingat bahwa LZRD digunakan oleh berbagai operator botnet.
Analisis infrastruktur lebih lanjut dari “176.65.134[.]62 “dan domain terkaitnya telah mengarah pada penemuan versi botnet Mirai lainnya, termasuk varian LZRD bernama” Neon “dan” Vision, “dan versi V3G4 yang diperbarui.
Beberapa kelemahan keamanan lain yang dieksploitasi oleh botnet termasuk cacat pada benang Hadoop, TP-Link Archer AX21 (CVE-2023-1389), dan bug eksekusi kode jarak jauh di router ZTE ZXV10 H108L.
Botnet kedua untuk menyalahgunakan CVE-2025-24016 menggunakan strategi yang sama menggunakan skrip shell jahat untuk mengirimkan varian botnet Mirai lain yang disebut sebagai resbot (alias resentual).
“Salah satu hal menarik yang kami perhatikan tentang botnet ini adalah bahasa yang terkait. Itu menggunakan berbagai domain untuk menyebarkan malware yang semuanya memiliki nomenklatur Italia,” kata para peneliti. “Konvensi penamaan linguistik dapat menunjukkan kampanye untuk menargetkan perangkat yang dimiliki dan dijalankan oleh pengguna berbahasa Italia pada khususnya.”
Besides attempting to spread via FTP over port 21 and conducting telnet scanning, the botnet has been found to leverage a wide range of exploits targeting Huawei HG532 router (CVE-2017-17215), Realtek SDK (CVE-2014-8361), and TrueOnline ZyXEL P660HN-T v1 router (CVE-2017-18368).
“Propagasi Mirai berlanjut relatif tanpa henti, karena tetap agak mudah untuk menggunakan kembali dan menggunakan kembali kode sumber lama untuk mengatur atau membuat botnet baru,” kata para peneliti. “Dan operator botnet sering kali dapat menemukan kesuksesan dengan hanya memanfaatkan eksploitasi yang baru diterbitkan.”
CVE-2025-24016 jauh dari satu-satunya kerentanan yang akan disalahgunakan oleh varian Mirai botnet. Dalam serangan baru-baru ini, para aktor ancaman juga memanfaatkan CVE-2024-3721, kerentanan injeksi komando medium-severitas yang mempengaruhi TBK DVR-4104 dan DVR-4216 perangkat perekaman video digital, untuk mendaftarkan mereka ke dalam botnet.
Kerentanan digunakan untuk memicu eksekusi skrip shell yang bertanggung jawab untuk mengunduh botnet mirai dari server jarak jauh (“42.112.26[.]36 “) dan melaksanakannya, tetapi tidak sebelum memeriksa apakah saat ini berjalan di dalam mesin virtual atau QEMU.
Perusahaan cybersecurity Rusia Kaspersky mengatakan infeksi terkonsentrasi di sekitar Cina, India, Mesir, Ukraina, Rusia, Turki, dan Brasil, menambahkannya mengidentifikasi lebih dari 50.000 perangkat DVR yang terpapar secara online.
“Mengeksploitasi kelemahan keamanan yang diketahui pada perangkat dan server IoT yang belum ditambal, bersama dengan penggunaan luas malware menargetkan sistem berbasis Linux, mengarah pada sejumlah besar bot yang terus-menerus mencari internet untuk perangkat untuk menginfeksi,” kata peneliti keamanan Anderson Leite.
Pengungkapan itu terjadi ketika Cina, India, Taiwan, Singapura, Jepang, Malaysia, Hong Kong, Indonesia, Korea Selatan, dan Bangladesh telah muncul sebagai negara -negara yang paling ditargetkan di wilayah APAC pada kuartal pertama tahun 2025, menurut statistik yang dibagikan oleh Stormwall.
“Banjir API dan pemboman karpet tumbuh lebih cepat daripada serangan TCP/UDP volumetrik tradisional, mendorong perusahaan untuk mengadopsi pertahanan yang lebih pintar, lebih fleksibel,” kata perusahaan itu. “Pada saat yang sama, meningkatnya ketegangan geopolitik mendorong lonjakan serangan terhadap sistem pemerintah dan Taiwan-menyoroti peningkatan aktivitas dari peretas dan aktor ancaman yang disponsori negara.”
Ini juga mengikuti penasihat dari Biro Investigasi Federal AS (FBI) bahwa Badbox 2.0 botnet telah menginfeksi jutaan perangkat yang terhubung dengan internet, yang sebagian besar diproduksi di Cina, untuk mengubahnya menjadi proksi perumahan untuk memfasilitasi aktivitas kriminal.
“Penjahat dunia maya mendapatkan akses tidak sah ke jaringan rumah dengan mengkonfigurasi produk dengan perangkat lunak berbahaya sebelum pembelian pengguna atau menginfeksi perangkat karena mengunduh aplikasi yang diperlukan yang berisi backdoors, biasanya selama proses pengaturan,” kata FBI.
“Botnet Badbox 2.0 terdiri dari jutaan perangkat yang terinfeksi dan memelihara banyak backdoor ke layanan proksi yang dieksploitasi oleh aktor kriminal cyber dengan menjual atau memberikan akses gratis ke jaringan rumah yang dikompromikan untuk digunakan untuk berbagai kegiatan kriminal.”
