Mirai Botnets利用Wazuh RCE，Akamai警告

Mirai Botnets利用Wazuh RCE，Akamai警告

Mirai僵尸网络正在利用CVE-2025-24016，这是Wazuh服务器中关键的远程代码执行缺陷，Akamai警告说。

Akamai研究人员警告说，多个Mirai僵尸网络利用关键的远程代码执行漏洞CVE-2025-24016（CVSS得分为9.9），影响Wazuh服务器。

Mirai CVE-2025-24016

Wazuh是一个开源安全平台，用于威胁检测，入侵检测，日志数据分析和合规性监视。组织通常将其部署以监视端点和基础架构以进行可疑或恶意活动。

“Starting in version 4.4.0 and prior to version 4.9.1, an unsafe deserialization vulnerability allows for remote code execution on Wazuh servers. DistributedAPI parameters are a serialized as JSON and deserialized using `as_wazuh_object` (in `framework/wazuh/core/cluster/common.py`). If an attacker manages to inject an unsanitized dictionary in DAPI请求/响应，他们可以制定一个未经治疗的异常（'__unhandled_exc__“）来评估任意的Python代码。”阅读咨询。 “漏洞可以是由任何具有API访问的人触发的（群集中的仪表板或Wazuh服务器），或者在某些配置中，即使是由折衷的代理也可以触发的。版本4.9.1包含修复程序。”

阅读咨询

研究人员知道有POC代码可以利用此问题进行任意代码执行。

POC代码

Akamai Sirt观察到通过DAPI请求滥用，CVE-2025-24016 RCE缺陷的主动剥削。研究人员报告说，自2025年3月以来，两个Mirai Botnet变体（包括“ Resbot”（带有意大利域名））一直在利用该错误。这标志着自2月份披露以来的首次已知的主动虐待。

报告

Akamai发表了妥协的指标（IOC），以检测Mirai Botnet变体。

发现 命令注射漏洞 CVE-2024-3721

在Twitter上关注我：@securityaffairs和Facebook和Mastodon

@securityaffairs Facebook mastodon

Pierluigi Paganini

SecurityFaffairs