|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Botnetze nutzen Wazuh-Server-Schwachstelle für Mirai-basierte Angriffe

11. Juni 2025

Sicherheitsforscher von Akamai beobachteten bereits seit Ende März vermehrte Bemühungen von Cyberkriminellen, die Sicherheitslücke CVE-2025-24016 (CVSS-Score: 9.9) auszunutzen. Dabei handelt es sich um eine unsichere Deserialisierungsschwachstelle, die Remotecodeausführung auf Wazuh-Servern ermöglicht. Diese sind zentraler Bestandteil der Wazuh Open-Source-Sicherheitsplattform, die für Security Information and Event Management (SIEM) und Intrusion Detection Systems (IDS) eingesetzt wird.

Die Schwachstelle liegt in der Wazuh-API, wo Parameter in der DistributedAPI als JSON serialisiert und mit „as_wazuh_object“ in der Datei framework/wazuh/core/cluster/common.py deserialisiert werden. Bei einem Angriff können Hacker bösartige JSON-Nutzdaten einschleusen, um beliebigen Python-Code aus der Ferne auszuführen. CVE-2025-24016 betrifft alle Versionen der Serversoftware ab Version 4.4.0, wurde jedoch bereits im Februar mit Version 4.9.1 geschlossen. Kurz nach den Patches wurde auch ein Proof-of-Concept (PoC) veröffentlicht, der zeigt, wie die Sicherheitslücke ausgenutzt werden kann.

Versuche, CVE-2025-24016 auszunutzen wurden innerhalb von wenigen Wochen nach Bekanntwerden der Sicherheitslücke und der Veröffentlichung des PoC beobachtet. Das beweist laut Sicherheitsforschern, dass die Zeitspanne, die Unternehmen für die Installation von Sicherheitsupdates bleibt, immer kürzer wird.

Im ersten beschriebenen Fall hat ein erfolgreicher Angriff dazu geführt, dass die Hacker ein Shell-Skript ausführen konnten, das als Downloader für die Mirai-Botnet-Malware eingesetzt wurde. Es wird davon ausgegangen, dass es sich bei den Malware-Samples um Varianten von LZRD Mirai handelt, das seit 2023 im Umlauf ist. Weitere Untersuchungen der Server, von denen die Malware heruntergeladen wurde, brachten jedoch auch andere Mirai-Varianten zum Vorschein. Auch beim zweiten Fall wurde ähnlich vorgegangen, wobei hier eine andere Variante von Mirai namens Resbot zum Einsatz kam.

Zu den Hintermännern der Angriffswelle ist noch nicht viel bekannt, jedoch stellten die Sicherheitsforscher fest, dass viele der betroffenen Domains italienische Namen hatten. Das könnte darauf hindeuten, dass besonders italienischsprachige Nutzer im Visier der Kriminellen stehen. Doch CVE-2025-24016 ist nicht die einzige Sicherheitslücke, über die Mirai verbreitet wird – und Mirai ist bei weitem nicht das einzige Botnet, dass sich über die Ausnutzung von Sicherheitslücken immer weiterverbreitet. Nutzer und Administratoren tun also gut daran, Sicherheitsupdates so schnell wie möglich zu installieren, um derartige Angriffe zu verhindern.

Bild (c) kaptn / Adobe Stock

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
8com easySOC
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
SAP Security
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Jobs
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001-Zertifikat auf basis vom IT-Grundschutz. BSI-IGZ-0505-2022
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen
Logo Bündnis für DemokratieLogo Bündnis für DemokratieLogo Bündnis für Demokratie