Akamai 的安全智能和响应团队 (SIRT) 发现了 CVE-2025-24016 的主动利用,这是 Wazuh 服务器中一个关键的远程代码执行 (RCE) 漏洞,由多个基于 Mirai 的僵尸网络使用。该漏洞的CVSS得分为9.9,允许远程攻击者通过Wazuh Distributed API中未经消毒的JSON输入执行任意Python代码。
“这是自2025年2月首次披露以来首次报告积极利用此漏洞,”Akamai在报告中写道。
CVE-2025-24016于2025年2月披露,影响Wazuh版本4.4.0至4.9.0,并允许攻击者通过向/security/user/authenticate/run_as端点制作恶意run_as请求来实现RCE。
该漏洞源于Wazuh在Python中使用as_Wazuh_object()去序列化方法,该方法无法对字典输入进行消毒。
“这可以通过向DAPI请求注入未经消毒的字典来利用,这可能导致对任意Python代码的评估,”报告解释说。
Akamai 利用此漏洞识别了两个不同的僵尸网络活动,两者都使用 Mirai 恶意软件的变体。
第一波浪潮出现在2025年3月初,在CVE公开披露后不久,针对物联网设备提供一套特定于架构的二进制文件。被称为“morte”的恶意软件是LZRD Mirai家族的一部分,以其控制台字符串“lzrd here”而闻名。
“漏洞利用获取并执行恶意shell脚本,作为主要Mirai恶意软件有效载荷的下载器,”报告解释说。
相关基础设施包括:
①C2 Domain: nuklearcnc.duckdns[.]org
②有效载荷服务器:176.65.134[。62
③附加域名: cbot.galaxias[.]cc, neon.galaxias [.]cc, pangacnc[.]com
2025 年 5 月,Akamai 观察到第二个僵尸网络被称为“Resbot”,它利用了相同的漏洞,但使用了 gestisciweb.com 等意大利风格的域名,建议针对讲意大利语的用户。
恶意软件“resgod”打印控制台字符串“Resentual get you!执行时,还针对多个 CPU 架构。其C2通过TCP端口62627硬编码为104.168.101[.]27。
“它使用各种域来传播恶意软件,这些恶意软件都具有意大利术语……可能暗指受影响的设备所有者所说的目标地理或语言,”报告指出。
除了CVE-2025-24016之外,还观察到僵尸网络与过去几年的漏洞利用有关,包括:
①CVE-2023-1389(TP-Link)
②CVE-2017-17215(华为HG532)
③CVE-2017-18368(D-Link)
④针对 Ivanti、UPnP 和 YARN API 的开发
通过 SOAP 为 UPnP 利用专门制作的一个攻击字符串包含此有效载荷:
这些行动强调了资源充足和自动化的进攻性攻势,以损害暴露和过时的基础设施。
