Эксперты Akamai Security Intelligence and Response Team (SIRT) обнаружили активную эксплуатацию критической уязвимости CVE-2025-24016 в системе безопасности Wazuh, позволяющей удаленно выполнять код (RCE) с оценкой CVSS 9.9. Уязвимость связана с небезопасной десериализацией данных в API Wazuh, что дает злоумышленникам возможность загружать вредоносные JSON-файлы и выполнять произвольные команды.
Описание
Первые атаки были зафиксированы в марте 2025 года, всего через несколько недель после публикации уязвимости. Злоумышленники использовали два отдельных ботнета, распространяющих различные варианты вредоносного ПО Mirai. Один из них, получивший название Resbot, содержит итальянские лингвистические элементы в доменных именах, что может указывать на целевую географию атаки.
Эксплуатация уязвимости происходит через отправку специально сформированных запросов к эндпоинту "/security/user/authenticate/run_as", что позволяет загружать и запускать вредоносные скрипты. В ходе атак также были задействованы другие известные уязвимости, включая CVE-2023-1389 (TP-Link Archer AX21), CVE-2017-17215 (Huawei HG532) и CVE-2017-18368 (ZyXEL P660HN-T v1).
Рекомендуется обновить Wazuh до версии 4.9.1 или выше, где уязвимость была устранена, а также проверить системы на наличие подозрительной активности.
Этот инцидент в очередной раз демонстрирует, как быстро операторы ботнетов начинают использовать свежие уязвимости, сокращая время между публикацией CVE и первой атакой.
Индикаторы компрометации
IPv4
- 104.168.101.23
- 104.168.101.27
- 176.65.134.62
- 176.65.142.137
- 194.195.90.179
- 196.251.86.49
- 209.141.34.106
- 65.222.202.53
- 79.124.40.46
Domains
- adesso-online.com
- assicurati-con-linear.online
- cbot.galaxias.cc
- continueoraweb.com
- eversioneweb.com
- gestisciweb.com
- jimmyudp-raw.xyz
- multi-canale.com
- neon.galaxias.cc
- nuklearcnc.duckdns.org
- ora-0-web.com
- pangacnc.com
- resbot.online
- versioneonline.com
- web-app-on.com
- webdiskwebdisk.webprocediweb.com
SHA256
- 4c1e54067911aeb5aa8d1b747f35fdcdfdf4837cad60331e58a7bbb849ca9eed
- 4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6
- 64bd7003f58ac501c7c97f24778a0b8f412481776ab4e6d0e4eb692b08f52b0f
- 6614545eec64c207a6cc981fccae8077eac33a79f286fc9a92582f78e2ae243a
- 7b659210c509058bd5649881f18b21b645acb42f56384cbd6dcb8d16e5aa0549
- 811cd6ebeb9e2b7438ad9d7c382db13c1c04b7d520495261093af51797f5d4cc
- 8a58fa790fc3054c5a13f1e4e1fcb0e1167dbfb5e889b7c543d3cdd9495e9ad6
- 90df78db1fb5aea6e21c3daca79cc690900ef8a779de61d5b3c0db030f4b4353
- 941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549
- 9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b
- a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc
- be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0
- c9df0a2f377ffab37ede8f2b12a776a7ae40fa8a6b4724d5c1898e8e865cfea1
- dece5eaeb26d0ca7cea015448a809ab687e96c6182e56746da9ae4a2b16edaa9
- e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0
